Çin bağlantılı bir siber casusluk grubunun, Güney Avrupa'daki büyük BT hizmet sağlayıcılarını hedef alan bir dizi sofistike saldırıyla bağlantılı olduğu tespit edildi.

11.12.2024

Çin bağlantılı bir siber casusluk grubunun, Güney Avrupa'daki büyük BT hizmet sağlayıcılarını hedef alan bir dizi sofistike saldırıyla bağlantılı olduğu tespit edildi. "Operation Digital Eye" olarak adlandırılan bu kampanya, Haziran 2024 sonu ile Temmuz 2024 ortası arasında gerçekleşti. Siber güvenlik firmaları SentinelOne ve Tinexta Cyber, bu saldırıların herhangi bir veri çalınmadan önce tespit edilip etkisiz hale getirildiğini belirtti ve olası ciddi sonuçların önüne geçildiğini vurguladı.

Saldırganlar, komuta ve kontrol (C2) operasyonları için Visual Studio Code ve Microsoft Azure altyapısı gibi meşru araçları suistimal etti. Bu platformları kötüye kullanarak, zararlı faaliyetlerini normal ağ trafiği içinde gizlediler ve güvenlik sistemleri tarafından tespit edilmelerini zorlaştırdılar. Bu strateji, hedef alınan ağlarda yerleşmelerine olanak sağladı ve bağlantılı diğer kuruluşlar için daha geniş bir tehdit oluşturdu.

İlk erişim, kamuya açık uygulamalarda ve veritabanı sunucularında SQL enjeksiyonu açıkları üzerinden sağlandı. Saldırganlar, bu açıkları tespit etmek ve istismar etmek için SQLmap adlı meşru bir sızma testi aracını kullandı. Erişim sağladıktan sonra, PHPsert adı verilen bir PHP tabanlı web shell yerleştirerek ağda kalıcılık sağladılar ve keşif, kimlik bilgisi hırsızlığı ve ağ içinde yatay hareket gibi kötü niyetli faaliyetlerde bulundular.

Ana araçlarından biri, "mimCN" olarak bilinen ve pass-the-hash saldırıları gerçekleştirmek için kullanılan özel bir Mimikatz sürümüydü. Bu aracın benzersiz değişiklikleri, paylaşılan kod imzalama sertifikaları ve gizleme teknikleri, diğer Çin bağlantılı casusluk kampanyalarıyla bağlantısını ortaya koyuyor. Zararlı kodlarda Çince yorumlar ve faaliyetlerin Çin çalışma saatleriyle uyumlu olması gibi göstergeler, saldırıların Çin ile bağlantılı olduğunu destekliyor.

Saldırganlar ayrıca, ele geçirilen sistemlerde komut yürütmek için Visual Studio Code Remote Tunnels'ı suistimal etti. GitHub hesaplarını kullanarak bu tünellere kimlik doğrulaması yapıp bağlandılar ve güvenilir altyapıyı kötüye kullanarak faaliyetlerini gizlediler. Bu yaklaşım, grubun meşru geliştirme araçlarını kullanarak tespit edilmekten kaçınma konusundaki pragmatik ve sofistike yöntemlerini gözler önüne seriyor.