Bugün
Video Galeri Foto Galeri Yazarlar Üye Paneli
TEKNOLOJİ
Yayınlanma: 13 Mart 2024 - 10:50

Siber casusluk için dini festivalleri hedeflediler

Dijital güvenlik şirketi ESET, çeşitli ülkelerdeki Tibetlileri hedef almak için dini bir toplantı olan Monlam Festivali'nden yararlanan bir siber casusluk kampanyası keşfetti

TEKNOLOJİ
13 Mart 2024 - 10:50
Yazdır
 A
Büyüt
 A
Küçült
Siber casusluk için dini festivalleri hedeflediler
Dijital güvenlik şirketi ESET, çeşitli ülkelerdeki Tibetlileri hedef almak için dini bir toplantı olan Monlam Festivali'nden yararlanan bir siber casusluk kampanyası keşfetti. ESET araştırma ekibi bu kampanyayı Çin bağlantılı Evasive Panda Gelişmiş Kalıcı Tehdit (APT) grubuna bağlıyor.

 

ESET araştırmacıları, Eylül 2023'ten bu yana Tibetlileri hedef alan bir siber casusluk kampanyası keşfetti. Araştırmacılara göre saldırganlar bir watering-hole (stratejik web tehlikesi) ve Tibet dili çeviri yazılımının truva atı yükleyicilerini sunmak için bir tedarik zinciri tehlikesini yöntem olarak kullandılar. Saldırganlar, web sitesi ziyaretçilerini MgBot ve henüz kamuya açıklanmamış bir arka kapı ile tehlikeye atmak için hem Windows hem de macOS için kötü amaçlı indiriciler dağıtmayı amaçladı. ESET buna Nightdoor adını verdi. Çin'e bağlı Evasive Panda APT grubu tarafından yürütülen kampanya, çeşitli ülkelerdeki Tibetlileri hedef almak için dini bir toplantı olan Monlam Festivali'nden yararlandı. Hedeflenen ağlar Hindistan, Tayvan, Hong Kong, Avustralya ve Amerika Birleşik Devletleri'nde bulunuyordu.

 

ESET, siber casusluk operasyonunu Ocak 2024'te keşfetti. Watering-hole kullanılarak ele geçirilmiş web sitesi (saldırgan, kurbanın muhtemelen veya düzenli olarak kullandığı bir web sitesini istila eder), Tibet Budizmini uluslararası alanda teşvik eden Hindistan merkezli bir kuruluş olan Kagyu International Monlam Trust'a ait. Saldırı, her yıl Ocak ayında Hindistan'ın Bodhgaya şehrinde düzenlenen Kagyu Monlam Festivali'ne olan uluslararası ilgiden faydalanmayı amaçlamış olabilir. Amerika Birleşik Devletleri'ndeki Georgia Institute of Technology (Georgia Tech olarak da bilinir) ağı, hedeflenen IP adres aralıklarında tespit edilen kuruluşlar arasında. Geçmişte bu üniversitenin adı Çin Komünist Partisi'nin ABD'deki eğitim kurumları üzerindeki etkisiyle bağlantılı olarak anılmıştı.  

 

Eylül 2023 civarında saldırganlar, Tibet dili çeviri yazılımı üreten Hindistan merkezli bir yazılım geliştirme şirketinin web sitesini ele geçirdi. Buraya Windows veya macOS için kötü amaçlı bir indirici dağıtan birkaç truva atı uygulaması yerleştirdiler. Buna ek olarak, saldırganlar aynı web sitesini ve Tibetpost adlı bir Tibet haber sitesini, Windows için iki tam özellikli arka kapı ve macOS için bilinmeyen sayıda yük dahil olmak üzere kötü amaçlı indirmelerle elde edilen yükleri barındırmak için de kötüye kullandılar.

 

Saldırıyı keşfeden ESET araştırmacısı Anh Ho, "Saldırganlar, yalnızca Evasive Panda tarafından kullanılan MgBot ve grubun araç setine en son eklenen ve Doğu Asya'daki birçok ağı hedef almak için kullanılan Nightdoor da dahil olmak üzere çeşitli indiriciler, damlalıklar ve arka kapılar kullandılar" dedi. "Tedarik zinciri saldırısında kullanılan Nightdoor arka kapısı, Evasive Panda'nın araç setine yeni eklendi. Nightdoor'un bulabildiğimiz en eski sürümü, Evasive Panda'nın onu Vietnam'daki yüksek profilli bir hedefin makinesine yerleştirdiği 2020 yılına ait. Ho, Yetkilendirme belirteciyle ilişkili Google hesabının kaldırılmasını talep ettik," diye ekledi.

 

ESET, kullanılan kötü amaçlı yazılımlara dayanarak bu kampanyayı Evasive Panda APT grubuyla ilişkilendiriyor: MgBot ve Nightdoor. Geçtiğimiz iki yıl içinde, her iki arka kapının da Tayvan'daki dini bir organizasyona karşı yapılan ve aynı Komuta ve Kontrol sunucusunu paylaştıkları ilgisiz bir saldırıda birlikte kullanıldığı görüldü. 

 

Evasive Panda (BRONZE HIGHLAND veya Daggerfly olarak da bilinir), en az 2012'den beri aktif olan, Çince konuşan ve Çin'e bağlı bir APT grubudur. ESET Research, grubun Çin anakarası, Hong Kong, Makao ve Nijerya'daki bireylere karşı siber casusluk yaptığını gözlemledi. Çin, Makao ve Güneydoğu ve Doğu Asya ülkelerinde, özellikle de Myanmar, Filipinler, Tayvan ve Vietnam'da devlet kurumları hedef alındı. Çin ve Hong Kong'daki diğer kuruluşlar da hedef alınmıştı. Kamu raporlarına göre, grup Hong Kong, Hindistan ve Malezya'daki bilinmeyen kuruluşları da hedef almıştı.

 

Grup, MgBot olarak bilinen arka kapısının kurbanlarını gözetlemek ve yeteneklerini geliştirmek için modüller almasına olanak tanıyan modüler bir mimariye sahip kendi özel kötü amaçlı yazılım çerçevesini kullanıyor. ESET, 2020'den bu yana Evasive Panda'nın arka kapılarını, meşru yazılımların güncellemelerini ele geçiren ortadaki düşman saldırıları yoluyla sunma yeteneğine sahip olduğunu da gözlemledi.

Kaynak: (BYZHA) Beyaz Haber Ajansı

İlginizi Çekebilir
Hız Sabitleyici Ne İşe Yarıyor?
Hız Sabitleyici Ne İşe Yarıyor?
1 Temmuz'da internet tarifeleri değişiyor
1 Temmuz'da internet tarifeleri değişiyor
Android telefon kullanıcılarına kritik uyarı
Android telefon kullanıcılarına kritik uyarı
WhatsApp kullanıcılarına yeni kontrol
WhatsApp kullanıcılarına yeni kontrol
Son Haberler
"Nefes Kredisi" KOBİ'ler İçin Yeniden Başladı
“İlçelerimize hayırlı olsun”
“İlçelerimize hayırlı olsun”
Samsun Büyükşehir Belediye Meclisi 7 Temmuz 2025- 1. Oturum gerçekleştirildi.
Samsun Büyükşehir Belediye Meclisi 7 Temmuz 2025- 1. Oturum gerçekleştirildi.
Canikli Sporcular Avrupa Şampiyonu
Canikli Sporcular Avrupa Şampiyonu
FIFA Kulüpler Dünya Kupası'nda yarı final heyecanı başlıyor
FIFA Kulüpler Dünya Kupası'nda yarı final heyecanı başlıyor
Çok Okunan Haberler
İş insanı Üzeyir BAHADIR,
İş insanı Üzeyir BAHADIR,"Deprem Değil, İhmal Öldürür! Samsun'da...
Kavak Güreşte Bir Kez Daha Şampiyon Yetiştirdi!
Kavak Güreşte Bir Kez Daha Şampiyon Yetiştirdi!
“SAMSUN MARKET”
“SAMSUN MARKET”