• BIST 100

    9184,82%2,67
  • DOLAR

    34,38% 0,47
  • EURO

    36,84% -0,60
  • GRAM ALTIN

    2969,82% -0,20
  • Ç. ALTIN

    4932,75% 0,96

Devletlerin yeni sorunu siber casusluk

ESET Research, Tayland hükümetini hedef alan Çin bağlantılı yeni APT grubu CeranaKeeper'ı keşfetti

Teknoloji 7.10.2024 09:45:50 0
Devletlerin yeni sorunu siber casusluk

 

 

Devletlerin yeni sorunu siber casusluk

 

 

Siber güvenlik şirketi ESET, Tayland'daki devlet kurumlarını hedef alan CeranaKeeper adlı yeni bir Çin bağlantılı gelişmiş kalıcı tehdit (APT) grubu keşfetti. Tayland hükümetine yönelik saldırıda büyük miktarda veri dışarı sızdırıldı. Grup, tespit edilmekten kaçınmak için arka kapılarını sürekli olarak güncelliyor ve kitlesel veri sızıntısına yardımcı olmak için yöntemlerini çeşitlendiriyor.

 

ESET araştırmacıları, Tayland'daki devlet kurumlarına karşı 2023 yılında başlayan ve büyük miktarda verinin sızdırıldığı birkaç hedefli kampanya keşfetti. Bu kampanyalarda Dropbox, PixelDrain, GitHub ve OneDrive gibi yasal dosya paylaşım hizmetleri kötüye kullanıldı. Bulgulara dayanarak ESET araştırmacıları, bu etkinlik kümesini ESET'in CeranaKeeper adını verdiği ayrı bir tehdit aktörünün işi olarak izlemeye karar verdi. Grubun araçlarının kodunda "bectrl" dizesinin çok sayıda geçmesi, arıcı kelimesi ile arı türü Apis Cerana veya Asya bal arısı arasında bir kelime oyunu olan isme ilham verdi. ESET, CeranaKeeper ve Tayland'daki güvenlik açığı ile ilgili bulgularını 2024 Virus Bulletin konferansında sundu. 

Tayland hükümetine yönelik saldırıların arkasındaki tehdit aktörü CeranaKeeper, grup tarafından kullanılan çok sayıda araç ve teknik hızla gelişmeye devam ettiği için özellikle acımasız görünüyor. Operatörler araç setlerini gerektiği gibi yeniden yazıyor ve tespit edilmekten kaçınmak için oldukça hızlı tepki veriyorlar. Bu grubun amacı mümkün olduğunca çok dosya toplamak ve bu amaçla belirli bileşenler geliştiriyor. CeranaKeeper sızma için bulut ve dosya paylaşım hizmetlerini kullanıyor ve muhtemelen bu popüler hizmetlere yönelik trafiğin çoğunlukla meşru görüneceği ve tespit edildiğinde engellenmesinin daha zor olacağı gerçeğine güveniyor.

 

Uzmanlar CeranaKeeper’ın (en az) 2022'nin başından beri aktif olduğunu ve esas olarak Tayland, Myanmar, Filipinler, Japonya ve Tayvan gibi Asya'daki devlet kurumlarını hedeflediğini aktarıyorlar. 

 

Tayland saldırıları, daha önce diğer araştırmacılar tarafından Çin bağlantılı APT grubu Mustang Panda'ya atfedilen bileşenlerin yenilenmiş sürümlerinden ve daha sonra ele geçirilen bilgisayarlarda komutları yürütmek ve hassas belgeleri dışarı çıkarmak için Pastebin, Dropbox, OneDrive ve GitHub gibi hizmet sağlayıcıları kötüye kullanan yeni bir araç setinden yararlandı.  Ancak taktikler, teknikler ve prosedürler, kod ve altyapı tutarsızlıklarının incelenmesi ESET'in CeranaKeeper ve MustangPanda'yı iki ayrı varlık olarak izlemenin gerekli olduğuna inanmasına yol açıyor. Çin'e bağlı her iki grup da ortak bir çıkar için ya da aynı üçüncü taraf aracılığıyla bilgi ve araç alt kümesi paylaşıyor olabilir.

 

CeranaKeeper'ı keşfeden ESET araştırmacısı Romain Dumont yaptığı açıklamada "Benzer yan yükleme hedefleri ve arşiv formatı gibi faaliyetlerindeki bazı benzerliklere rağmen ESET, iki grup arasında araç setlerindeki, altyapılarındaki, operasyonel uygulamalarındaki ve kampanyalarındaki farklılıklar gibi belirgin organizasyonel ve teknik farklılıklar gözlemledi. Ayrıca iki grubun benzer görevleri yerine getirme biçimlerinde de farklılıklar tespit ettik" dedi.

 

CeranaKeeper muhtemelen "ısmarlama stager" (ya da TONESHELL) adı verilen ve büyük ölçüde yan yükleme tekniğine dayanan ve ele geçirilmiş bir ağdan dosya sızdırmak için belirli bir komut dizisi kullanan kamuya açık bir araç seti kullanmaktadır. CeranaKeeper, operasyonlarında gruba özgü olduğu bilinen ve operasyonlarında kullanılan bileşenleri konuşlandırmaktadır.  Ayrıca grup, kodunda ESET'e geliştirme süreci hakkında bilgi veren bazı meta veriler bırakarak CeranaKeeper'a olan atfımızı daha da sağlamlaştırdı. 

 

Saldırganlar ayrıcalıklı erişim elde ettikten sonra TONESHELL arka kapısını kurdu. Kimlik bilgilerini boşaltmak için bir araç kullandı ve makinedeki güvenlik ürünlerini devre dışı bırakmak için yasal bir Avast sürücüsü ve özel bir uygulama kullandı. Ele geçirilen bu sunucudan, ağdaki diğer bilgisayarlara arka kapılarını dağıtmak ve çalıştırmak için bir uzaktan yönetim konsolu kullandılar.  Grup, ağ genelinde yeni bir BAT betiği dağıttı ve Etki Alanı Yöneticisi ayrıcalıkları elde etmek için etki alanı denetleyicisinden yararlanarak erişimlerini diğer makinelere genişletti. 

 

Tayland hükümetine yönelik saldırıda, saldırganlar daha önce belgelenmemiş, özel araçları konuşlandırmak için yeterli ilgiye sahip birkaç tehlikeye atılmış bilgisayar bulmuş ve seçmiştir. Bu destek araçları yalnızca belgelerin halka açık depolama hizmetlerine sızmasını kolaylaştırmak için değil aynı zamanda alternatif arka kapılar olarak da kullanıldı. Grubun kullandığı dikkate değer tekniklerden biri, kod paylaşımı ve iş birliği için popüler bir çevrimiçi platform olan GitHub'ın pull request ve sorun yorumu özelliklerini gizli bir ters kabuk oluşturmak için kullanarak GitHub’dan bir C&C sunucusu olarak faydalanmalarıdır.


Albaraka Türk’ün 2024 Üçüncü Çeyrek Net Kârı 2,66 Milyar TL Oldu

Esas Oğlan dizisinden iddialı ilk tanıtım!

Polisan Holding 2024 Yılı İlk Dokuz Ayına İlişkin Finansal Sonuçlarını Açıkladı

Olası BRICS Üyeliği ve Afrika ile Ticari İlişkilerimize Etkisi

Türkiye İhracat Seferberliği Başlıyor!

Yazar Mehmet Ballı, TÜYAP'ta kitaplarını imzalıyor

Ayvalık 4 mevsim turizme kapılarını açtı

Beyin sağlığı için 6 etkili önlem

NEET Gençler Raporu Yayında

Donald Trump zaferini ilan etti | ABD'nin 47. başkanıyım

Sergi Ressam Pınar Tuba Biçmen | Biz Kadınlar | Ayna Uyanış

Kedi Gribine Karşı Tedbirlerinizi Alın!

Meme kanserinde doğru bilinen yanlışlar

EİB’den ekim ayında 1 milyar 619 milyon dolarlık ihracat

Kamkat meyvesinin özü kanser ilacının etkisini artırıyor

Demans ve Alzheimer riski taşıyanlar dikkat!

Turkcell eMilli Takım Seçmeleri’nin şampiyonu belli oldu

"81 İlde 81 Orman" projesinde fidan dikimleri başladı

Huawei UBBF 2024'te yapay zekanın geleceğini ele aldı

Sağlıklı işitme için kulaklık kullanımını en aza indirin

İş Sanat Sezona Dopdolu Bir Programla Başlıyor

Ergenleri bağımlılık tedavisine ikna etmenin yolları…

Kültür Buluşmalarında Trabzon havası esecek

Dragon Age: The Veilguard tüm platformlarda çıktı!

Otizmli öğrenciler Otizmli arkadaşları için koşacak

Mahizer'den tatlı sohbet ve Züleyha'dan mini konser

Gıda zehirlenmelerini önlemenin 6 yolu

Sağlık turizminde “Kültürel İletişim” dönemi başlıyor

Kaçak elektrik denetiminde, ekiplere tehdit yağdı

İstinye Üniversitesi Kulüpler Fuarı, binlerce öğrenciyi buluşturdu

Yükleniyor

Mahizer'den tatlı sohbet ve Züleyha'dan mini konser

İstanbul'da Bryan Adams rüzgarı

Fedon | Belgeselim yapılsın

Yasemin İlan TürkMedya Dijital Magazin Müdürü oldu

Erşan Kuneri 2. sezon ikinci fragman yayında

Doctor Odyssey yakında sadece Disney+’ta başlıyor

Ünlü oyuncuların Sıfır Kilometre filminde bisiklet keyfi

Red Bull Rap Trivia’nın dördüncü bölümünde sürpriz konuklar

Haluk Levent'ten, 14 Eylül’de Marmara Park’ta! ücretsiz konser

Aslı Enver annelik hikayesini anlattı

Beyin sağlığı için 6 etkili önlem

Kedi Gribine Karşı Tedbirlerinizi Alın!

Meme kanserinde doğru bilinen yanlışlar

Kamkat meyvesinin özü kanser ilacının etkisini artırıyor

Demans ve Alzheimer riski taşıyanlar dikkat!

Sağlıklı işitme için kulaklık kullanımını en aza indirin

Ergenleri bağımlılık tedavisine ikna etmenin yolları…

Gıda zehirlenmelerini önlemenin 6 yolu

Boyun ağrısı migreni tetikleyebiliyor!

Sık görülen tiroid hastalıklarına dikkat!

Huawei UBBF 2024'te yapay zekanın geleceğini ele aldı

Dragon Age: The Veilguard tüm platformlarda çıktı!

İstinye Üniversitesi Kulüpler Fuarı, binlerce öğrenciyi buluşturdu

Türkiye'nin Teknoloji Kaptanları 7. kez ödüllendirildi

Yapay Zeka, insan merkeze alarak büyümeli

Samsung üçe katlanan telefonu için tarih verdi

Kristal Elma Ödülleri’ne Turkcell damgası

Facebook kaldırdığı özelliği geri getiriyor

SAHA EXPO’da Yerli ve Milli Üç Ürün İlk Kez Görücüye Çıkıyor

ESET ve Intel iş birliği genişliyor

Albaraka Türk’ün 2024 Üçüncü Çeyrek Net Kârı 2,66 Milyar TL Oldu

Polisan Holding 2024 Yılı İlk Dokuz Ayına İlişkin Finansal Sonuçlarını Açıkladı

Olası BRICS Üyeliği ve Afrika ile Ticari İlişkilerimize Etkisi

Türkiye İhracat Seferberliği Başlıyor!

Ayvalık 4 mevsim turizme kapılarını açtı

NEET Gençler Raporu Yayında

EİB’den ekim ayında 1 milyar 619 milyon dolarlık ihracat

Murat Çiftçi | Sigorta sektörü yüzde 10 daralırken, fiyatlar yüzde 30 arttı

TSKB'den yüzde 11.5 kredi büyümesi ile nitelikli kalkınma katkısı

TÜREK 2024 için geri sayım başladı

LİG TABLOSU

Takım O G M B Av P
1.Galatasaray 11 10 0 1 21 31
2.Fenerbahçe 11 8 1 2 18 26
3.Samsunspor 12 8 3 1 11 25
4.Eyüpspor 12 6 2 4 7 22
5.Beşiktaş 11 6 2 3 9 21
6.Göztepe 11 5 3 3 6 18
7.Sivasspor 12 5 5 2 -3 17
8.İstanbul Başakşehir 11 4 3 4 3 16
9.Kasımpaşa 12 3 4 5 -3 14
10.Konyaspor 12 4 6 2 -6 14
11.Antalyaspor 12 4 6 2 -9 14
12.Rizespor 11 4 6 1 -9 13
13.Trabzonspor 11 2 3 6 -2 12
14.Gazişehir Gaziantep 11 3 5 3 -3 12
15.Kayserispor 11 2 3 6 -5 12
16.Bodrum FK 12 3 7 2 -6 11
17.Alanyaspor 11 2 5 4 -5 10
18.Hatayspor 11 1 7 3 -8 6
19.Adana Demirspor 11 0 9 2 -16 2
1.Galatasaray 11 10 0 1 21 31
2.Fenerbahçe 11 8 1 2 18 26
3.Samsunspor 12 8 3 1 11 25
4.Eyüpspor 12 6 2 4 7 22
5.Beşiktaş 11 6 2 3 9 21
6.Göztepe 11 5 3 3 6 18
7.Sivasspor 12 5 5 2 -3 17
8.İstanbul Başakşehir 11 4 3 4 3 16
9.Kasımpaşa 12 3 4 5 -3 14
10.Konyaspor 12 4 6 2 -6 14
11.Antalyaspor 12 4 6 2 -9 14
12.Rizespor 11 4 6 1 -9 13
13.Trabzonspor 11 2 3 6 -2 12
14.Gazişehir Gaziantep 11 3 5 3 -3 12
15.Kayserispor 11 2 3 6 -5 12
16.Bodrum FK 12 3 7 2 -6 11
17.Alanyaspor 11 2 5 4 -5 10
18.Hatayspor 11 1 7 3 -8 6
19.Adana Demirspor 11 0 9 2 -16 2