Kızıl Menshen Casusluk Kampanyası

Mezo'de Kötü amaçlı yazılım, Gelişmiş Sürekli Tehdit (APT)'de

Çevir:

Çin'le bağlantılı bir tehdit unsuruna bağlı, sürekli ve son derece stratejik bir siber casusluk kampanyası, telekomünikasyon ağlarına başarıyla yerleşti. Birincil amaç, telekomünikasyon ortamlarını bir geçit olarak kullanarak hükümetle ilgili altyapıyı gözetlemek ve sızmaktır.

Uzun süredir devam eden bu operasyon, Red Menshen olarak bilinen ve Earth Bluecrow, DecisiveArchitect ve Red Dev 18 gibi takma adlarla da takip edilen tehdit grubuna atfediliyor. Grup, en az 2021'den beri Orta Doğu ve Asya genelindeki telekomünikasyon sağlayıcılarını hedef alarak kritik sistemler içinde derin köklü ve gizli erişim sağlamıştır.

İçindekiler

Dijital Uyuyan Hücreler: Gelişmiş Kalıcılık Teknikleri

Güvenlik araştırmacıları, bu kampanyada kullanılan erişim mekanizmalarını telekom ağlarında şimdiye kadar gözlemlenen en gizli mekanizmalar arasında nitelendirdi. Bu teknikler, etkinleştirilene kadar hareketsiz ve tespit edilemez kalan dijital uyuyan hücreler gibi işlev görüyor.

Saldırganlar, aşağıdakiler de dahil olmak üzere, son derece gelişmiş araç ve tekniklerin bir kombinasyonuna güveniyorlar:

İşletim sisteminin derinliklerinde çalışan çekirdek düzeyindeki implantlar.
Geleneksel tespit yöntemlerinden kaçınan pasif arka kapılar.
Hassas erişim verilerini toplamak için kullanılan kimlik bilgisi toplama yardımcı programları.
Esnek operasyonlara olanak sağlayan platformlar arası komuta ve kontrol çerçeveleri

Bu yetenekler, tehdit aktörünün tespit edilebilir faaliyetlerini en aza indirirken uzun vadeli varlığını sürdürmesine olanak tanır.

BPFDoor: Çekirdekteki Görünmez Arka Kapı

Bu kampanyanın merkezinde, gizlilik ve gelişmişliğin bir örneği olan Linux tabanlı bir arka kapı olanBPFDoor yer alıyor. Geleneksel kötü amaçlı yazılımların aksine, bu yazılım tespit edilebilir ağ göstergeleri oluşturmaktan kaçınıyor.

BPFDoor, portları açmak veya görünür iletişim kanallarını sürdürmek yerine, Linux çekirdeğindeki Berkeley Paket Filtresi (BPF) işlevselliğinden yararlanır. Ağ trafiğini dahili olarak inceler ve yalnızca özel olarak hazırlanmış bir 'sihirli' paket aldığında etkinleşir.

Bu tasarım, sürekli dinleyicilere veya sinyal gönderme faaliyetine olan ihtiyacı ortadan kaldırarak, gizli bir erişim mekanizmasını doğrudan işletim sistemine yerleştirir. Sonuç olarak, geleneksel izleme araçlarıyla tespit edilmesi son derece zor olan, neredeyse görünmez bir giriş noktası elde edilir.

İlk Güvenlik İhlali: Uç Altyapının İstismar Edilmesi

Saldırı zinciri tipik olarak internete açık sistemleri ve uç cihazları hedef alarak başlar. Bunlar arasında VPN ağ geçitleri, güvenlik duvarları ve özellikle büyük kurumsal teknolojilerle ilişkili web tabanlı hizmetler yer alır.

İlk erişim sağlandıktan sonra, saldırganlar kontrollerini genişletmek için bir dizi sömürü sonrası araç kullanırlar. Bunlar arasında CrossC2 gibi çerçeveler, Sliver, TinyShell, keylogger'lar ve kaba kuvvet saldırı araçları bulunur. Bu araçlar birlikte, kimlik bilgilerinin ele geçirilmesini, iç keşif yapılmasını ve ele geçirilen ortamlarda yatay hareket etmeyi mümkün kılar.

Çift Bileşenli Mimari: Kontrol ve Aktivasyon

BPFDoor, hassasiyet ve gizlilik için tasarlanmış iki parçalı bir mimariyle çalışır. Bileşenlerden biri, ele geçirilen sistemde bulunur ve önceden tanımlanmış bir tetikleyici paket için gelen trafiği pasif olarak izler. Tespit edildiğinde, uzaktan bir kabuk başlatarak etkinleşir.

İkinci bileşen, saldırgan tarafından işletilen bir kontrol ünitesidir. Bu kontrol ünitesi, kötü amaçlı yazılımları etkinleştirmek için özel olarak hazırlanmış paketler gönderir ve ayrıca kurbanın ortamında da çalışabilir. Dahili olarak konuşlandırıldığında, kendisini meşru sistem süreçleri gibi gizleyebilir, ek enfeksiyonları koordine edebilir ve sistemler arasında kontrollü yatay hareketi kolaylaştırabilir.

Telekomünikasyon Seviyesinde Gözetim: Geleneksel Arka Kapıların Ötesinde

BPFDoor'un bazı varyantları, standart arka kapı işlevselliğinin ötesine geçen yetenekler sergiler. Akış Kontrol İletim Protokolü (SCTP) desteği, telekomünikasyona özgü iletişimlerin izlenmesini sağlar.

Bu özellik, saldırganların abone faaliyetlerine dair bilgi edinmelerine, kullanıcı davranışlarını izlemelerine ve potansiyel olarak ilgilendikleri kişilerin fiziksel konumlarını belirlemelerine olanak tanır. Sonuç olarak, BPFDoor, telekomünikasyon altyapısına yerleştirilmiş bir gözetim katmanı görevi görerek, hassas operasyonlara uzun vadeli ve düşük gürültülü bir görünürlük sağlar.

Kaçış Yeniden Tasarlandı: Yeni Varyantlar ve Gizlilik Geliştirmeleri

BPFDoor'un yeni tanımlanan bir varyantı, hırsızlığa karşı dayanıklılığı ve uzun ömrü artırmak için tasarlanmış mimari iyileştirmeler sunuyor. Başlıca gelişmeler şunlardır:

Görünüşte meşru HTTPS trafiği içinde tetikleyici paketleri gizlemek
Güvenilir aktivasyon tespiti için sabit bir bayt ofset işaretçisi ('9999') uygulanması.
Enfekte olmuş konaklar arasında düşük profilli etkileşim için ICMP tabanlı iletişimin tanıtılması

Bu teknikler, kötü amaçlı trafiğin normal ağ etkinliğiyle sorunsuz bir şekilde karışmasını sağlayarak, güvenilir komut yürütmeyi korurken tespit edilme olasılığını önemli ölçüde azaltır.

Ticaret Sanatının Gelişimi: Yığının Derinliklerine Doğru

Bu kampanya, saldırganların metodolojisindeki daha geniş bir değişimi vurguluyor. Saldırganlar, yalnızca kullanıcı alanındaki kötü amaçlı yazılımlara güvenmek yerine, özellikle çekirdek ve altyapı seviyelerinde olmak üzere, kötü amaçlı yazılımları bilgi işlem yığınının daha derinlerine yerleştiriyorlar.

Telekomünikasyon ortamları, özellikle karmaşık yapıları nedeniyle cazip hedeflerdir; bu yapılar arasında çıplak metal sistemler, sanallaştırma katmanları, yüksek performanslı ağ donanımı ve konteynerleştirilmiş 4G/5G çekirdek bileşenleri yer almaktadır. Bu kötü amaçlı yazılımlar, meşru hizmetler ve çalışma ortamlarıyla entegre olarak geleneksel uç nokta savunmalarından kaçabilir ve uzun süre tespit edilmeden kalabilir.

Sonuç: Siber Casuslukta Yeni Bir Sınır

Bu kampanya, siber casusluk taktiklerinde önemli bir evrimi göstermektedir. Saldırganlar, telekomünikasyon altyapısını ve çekirdek düzeyindeki gizlilik mekanizmalarını kullanarak, son derece hassas ortamlara uzun vadeli ve düşük görünürlükte erişim sağlamaktadır.

BPFDoor gibi gelişmiş araçların, yenilikçi kaçınma teknikleri ve derin sistem entegrasyonuyla birleşmesi, savunmacılar için giderek artan bir zorluğa işaret ediyor. Bu tür tehditleri tespit etmek ve azaltmak, bilgi işlem yığınının alt katmanlarına daha iyi görünürlük sağlamayı ve geleneksel güvenlik yaklaşımlarını yeniden düşünmeyi gerektiriyor.

EnigmaSoft'un Ödeme İşlemcisi Digital River GmbH'nin İflas Başvurusunda Bulunması SpyHunter Müşterilerinin Kötü Amaçlı Yazılımlara Karşı Korumasını Etkilemiyor

Ara

Bölge değiştir

Kızıl Menshen Casusluk Kampanyası

Dijital Uyuyan Hücreler: Gelişmiş Kalıcılık Teknikleri

BPFDoor: Çekirdekteki Görünmez Arka Kapı

İlk Güvenlik İhlali: Uç Altyapının İstismar Edilmesi

Çift Bileşenli Mimari: Kontrol ve Aktivasyon

Telekomünikasyon Seviyesinde Gözetim: Geleneksel Arka Kapıların Ötesinde

Kaçış Yeniden Tasarlandı: Yeni Varyantlar ve Gizlilik Geliştirmeleri

Ticaret Sanatının Gelişimi: Yığının Derinliklerine Doğru

Sonuç: Siber Casuslukta Yeni Bir Sınır

Yorum Gönder

trend

VENON Bankacılık Kötü Amaçlı Yazılımı

SHub Hırsızı

Threatcleaner.info

En çok görüntülenen

'Yazıcı Sürücüsü Kullanılamıyor' Hatası Nasıl Onarılır

Discord Ekranı Paylaşırken Siyah Ekran Görüyor

Eporner.com