BRONZE STARLIGHT – Siber Casusluk Faaliyetleri İçin Kısa Ömürlü Fidye Yazılımı Ailelerini Kullanan Çin APT

Birkaç fidye yazılımı ailesinin, siber casusluk faaliyetleri yürütmek için baskınlarının gerçek amacını gizlemek için 'BRONZE STARLIGHT' adını kullanan Çin bağlantılı kökenlere sahip devlet destekli bir bilgisayar korsanlığı grubu tarafından kullanıldığı tespit edildi.

Casusluk operasyonları gerçekleştirildiğinde, fidye yazılımı genellikle kanıtları gizlemek, ilişkilendirme zorlukları sunmak ve güvenlik araştırmacılarının dikkatini dağıtmak için birkaç sağlam engel oluşturmak için kullanılır.

Finansal olarak motive edilmiş saldırılar kisvesi altında hassas bilgileri sızdıran Çinli APT gruplarının aksine, Çin hükümeti tarafından desteklenen gruplar için durum böyle değildir.

Faaliyetleri

2021'in ortasından bu yana, Secureworks'teki güvenlik analistleri, aşağıdaki fidye yazılımlarını düşüren tehdit grubu tarafından HUI Loader ile gerçekleştirilen birkaç saldırı tespit etti:

• AtomSilo
• LockFile
• Night Sky
• Pandora
• Rook

Siber güvenlik uzmanları Çinli APT grubu "Bronze Starlight"ın finansal kazançtan ziyade siber casusluk faaliyetleri ve fikri mülkiyet hırsızlığı yapmakla daha fazla ilgilenebileceğine inanıyor.

Bu, her fidye yazılımı ailesinin kısa ömürleri ve kurbanlarının deneyimlerinin yanı sıra Çin devlet destekli bilgisayar korsanları tarafından kullanılan araçlara erişimi nedeniyle de dikkate alınmaktadır.

Secureworks'ün bilgisayar korsanlığı etkinliği analizinde, bu iki küme açıkça göze çarpmaktadır:

• Bronze Riverside (APT41)
• Bronze Starlight (APT10)

Aşağıdaki RAT'lar her iki grup tarafından HUI Loader aracılığıyla konuşlandırıldı:

• PlugX
• Cobalt Strike (Kobalt Saldırısı)
• QuasarRAT

Hedefleme Ve Mağduriyet

Cobalt Strike işaretlerinin yapılandırmasında AtomSilo, Night Sky ve Pandora kullanan üç saldırı tarafından paylaşılan ortak bir C2 adresi vardır.

Ayrıca bu yıl HUI Loader örnekleri de aynı kaynak üzerinden Virus Total'e yüklendi.

Bu fidye yazılımı türleri, etkinlik ve mağduriyet açısından tipik finansal olarak motive edilmiş fidye yazılımı operasyonlarının özelliklerini göstermez.

Projenin az sayıda mağdura odaklandığı ve daha sonra tamamen terk edildiği kısa bir süre var.

Siber suç topluluğunun dikkatini hiçbir zaman çekmemiş veya önemli bir tehdit haline gelmeyen bu gibi fidye yazılımı operasyonları, siber suç topluluğu üzerinde bir izlenim bırakmadı. Dahası, hepsi vaktinden önce ayrılmışlardı, çünkü hepsi gemiyi terk etmişti.

Taktik Hedefler

Aşağıdaki taktik hedefler, bu olaylarda BRONZE STARLIGHT tarafından fidye yazılımı kullanılarak elde edilmiş olabilir:

• Kanıtları yok etme
• Araştırmacıların dikkatini dağıtma
• Veri sızdırma

Ağ çevre cihazlarındaki zayıflıkları kullanan BRONZE STARLIGHT, ağları tehlikeye atar. Bir Cobalt Strike Beacon, tehdit aktörleri tarafından komuta ve kontrol işlevleri için kullanılırken, HUI Loader'ı şifresini çözmek ve yürütmek için konuşlandırır.

Bundan sonra, fidye yazılımı dağıtırlar ve kurbanın sistemindeki hassas bilgilere erişmek için bir sızıntı işlemi gerçekleştirirler.

Dahası, bu fidye yazılımı ailelerinin niyeti, başka bir kötü amaçlı eylem için bir hile görevi görüp görmedikleri belirsizdir. Fidye yazılımının bu şekilde kullanılması ilk kez yapılmıyor olsa da.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.