Kısır panda
Son aylarda siber suçluların , kötü amaçlı yazılım ve fidye yazılımları yaymak için çok gerçek bir Coronavirus tehdidini kullandığına dair birkaç hikaye var. Bu tehditler tüm dünyaya yayıldı, ancak özellikle Çin'den çıkanlar oldu. Devlet destekli Çinli hack grubu Vicious Panda'nın koronavirüs yoluyla kendi kötü amaçlı yazılımlarını yaymaya başladığı noktaya kadar.
Saldırıyla ilgili bilgiler, Çinli bir APT'nin kötü niyetli kötü amaçlı yazılımlarını kitlelere yaymak için koronavirüs hakkındaki meşru bilgileri "silahlandırdığını" gösteren bir araştırma yayınlayan Check Point'ten geliyor.
İçindekiler
İkinci Saldırı
Vicious Panda saldırısı aslında son birkaç hafta içinde Çin'den çıkan ikinci büyük Coronavirus (COVID-19) ile ilgili kötü amaçlı yazılım kampanyasıdır. İlki, Mart ayının başında Vietnamlı siber güvenlik grubu VinCSS'nin Mustang Panda'nın saldırısını fark etmesiyle gerçekleşti. Mustang Panda, Çin devlet destekli bir başka bilgisayar korsanlığı grubudur.
Saldırıları, Vietnam Başbakanı'ndan koronavirüs hakkında bir mesaj içerdiğini iddia eden ekli bir RAR dosyası içeren e-postalar dağıtmalarıyla biliniyordu. Herhangi bir önemli mesaj içermek yerine, RAR dosyası, kendisini kurbanın bilgisayarlarına yükleyen ve onları bilgisayar korsanlığı grubuna açan bir arka kapı truva atı içeriyordu.
Kısır Panda Moğol Hükümetine Saldırdı
Kısır Panda saldırısı, Moğol devlet kurumlarını hedef aldıkları için grubu takip ettiklerini söyleyen Check Point tarafından fark edildi. Grup, ilk saldırı gibi, kullanıcıların erişmek için indirmesi gereken koronavirüs hakkında hayati bilgilere sahip olduğunu iddia etti.
Check Point, "Çinli bir APT grubu tarafından Moğolistan'ın bir kamu sektörü varlığına" yönelik bir siber saldırıyı durdurmayı başardı. Saldırı, sosyal mühendislik aşamasında koronavirüs korkularından yararlandı. İçinde iki belge vardı. Belgelerden biri COVID-19 ile ilgiliydi ve her ikisinin de Moğol Dışişleri Bakanlığı'na ait olduğu iddia edildi. Belgeler, kurbanın bilgisayarlarına uzaktan erişime izin veren benzersiz bir kötü amaçlı yazılım tehdidiyle birlikte geldi.
E-posta eki - Kaynak: Research.checkpoint.com
Buzdağının tepesi
Ne yazık ki, bu son saldırı yeni bir şey değil ve sadece meşhur buzdağının görünen yüzünü temsil ediyor. Bilgisayar korsanları bu tür krizleri her zaman kendi avantajlarına kullandılar, bu nedenle COVID-19'dan yararlanmaya direnmelerinin hiçbir yolu yoktu.
Check Point'e göre en son Çin APT belgesi, 'Yeni Coronavirüs Enfeksiyonlarının Yayılması Hakkında' başlıklıydı. Daha özgün görünmek ve daha etkili olmak için Çin Ulusal Sağlık Komitesi'nden alıntı yapıyor. COVID-19 ile ilgili bir dizi siber tehdit olsa da, bu, devlet destekli bir bilgisayar korsanlığı grubu tarafından yabancı bir hükümete karşı yürütülen ilk tehdit gibi görünüyor.
Check Point, bir dizi koronavirüs ile ilgili saldırı saldırılarının en sonuncusu olmasının yanı sıra, saldırının Çinli bilgisayar korsanlarının diğer hükümetlere ve kuruluşlara karşı devam eden bir kampanyasının sadece sonuncusu olduğunu söylüyor. Aradaki fark, bunun dağıtım yönteminin bir parçası olarak koronavirüsten yararlanmasıdır.
Saldırı, "yeni bir siber enfeksiyon zinciri yoluyla [Çin'in] kendi gündemi için koronavirüse olan kamu çıkarını sömürmek" olarak tanımlandı. Vicious Panda'nın sadece Moğolistan'ı değil, dünyadaki ülkeleri hedef aldığını söylüyorlar. Her kamu sektörü kuruluşunu ve telekom şirketini potansiyel siber tehditler, özellikle de koronavirüs ile ilgili olduğu iddia edilen her şey konusunda tetikte olmaya çağırıyorlar.
E-posta ve belgelerin Moğolistan'ın kendi hükümetinden geldiğini iddia ediyor. En az birinin Dışişleri Bakanı'ndan geldiğini iddia etti. Kampanya Moğol kamu sektörünün diğer kısımlarını hedef aldı. Kampanyanın amacı, devlet bilgisayarlarından bilgi ve ekran görüntüleri almak, dosyaları düzenlemek ve silmek ve bu bilgisayarların uzaktan kontrolünü ele geçirmek olarak ortaya çıktı.
Vicious Panda Ransomware Nasıl Çalışır?
Kötü amaçlı ek, bilgisayarların kontrolünü ele geçirebilen bir uzaktan erişim truva atı (RAT) içerir. Truva atı, komuta ve kontrol sunucusuyla sınırlı bağlantılara sahip olacak şekilde programlanmıştır, bu da tespit edilmesini zorlaştırabilir. Yükün yapısı, daha sonra daha büyük bir kampanyanın parçası olarak kurulum için planlanan diğer modülleri içerebileceğini gösteriyor. Check Point'in söyleyebileceği kadarıyla, saldırıda kullanılan kötü amaçlı yazılım tamamen benzersiz ve özel olarak tasarlanmış bir türdür, ancak tam olarak nasıl çalıştığı ve ne yaptığı oldukça yaygındır.
Kısır Panda Enfeksiyon Zincirleri - Kaynak: Research.checkpoint.com
Check Point, komuta ve kontrol merkezinin barındırıldığı yer gibi kampanyanın diğer bölümlerini bozdu. Günün sonunda, bu kötü amaçlı yazılım, devlet destekli bir kampanyadan başka bir şey değildir. Kullanıcıları bir eki indirmeye ve açmaya teşvik etmek için sosyal mühendisliği kullanır. Ek, başka bir dosya yükler ve bilgisayara bir arka kapı yükler. Çin daha sonra hükümet hedeflerini gözetlemek için bu arka kapıdan yararlanabilir.
Cybercrooks, Çin ve Coronavirüs'ten Yararlanmaya Devam Edecek
Üst düzey tabelalar, saldırının arkasında tam olarak kimin olduğunu belirlemek için yeterli bilgi sunmasa da Check Point, kötü amaçlı yazılım kodunu araştırdı ve Çin ile ilgili diğer kötü amaçlı yazılımlarda kullanılan koda benzer olduğunu buldu. Bu kampanyalar aynı zamanda Çin'in düşmanlarını da hedef aldı.
Koronavirüsün merkez üssü olan Çin, birçok aldatıcı yöntemde virüsü kendi avantajına kullanıyor. Yine de, şu anda tehdit aktörleri için mevcut en iyi sosyal mühendislik aracı olduğu için koronavirüsü kullanmaları şaşırtıcı değil. Sıradan siber suçlular bile kendi kampanyalarında bundan yararlanıyor.
