Bitdefender Labs, askeri siber casusluğu açığa çıkarıyor: Naikon hacker grubu, casusluk ve veri hırsızlığı için yandan yükleme teknikleri ve güçlü arka kapılar kullanıyor.
Bitdefender Labs, savunmasız meşru yazılımların kötüye kullanılmasına ilişkin bir analiz sırasında, ünlü APT grubu Naikon tarafından yürütülen uzun süredir devam eden bir siber casusluk kampanyasını ortaya çıkardı. Naikon, on yılı aşkın bir süredir aktiftir. Çince konuşan grup, devlet kurumları ve askeri kuruluşlar gibi üst düzey hedeflere odaklanıyor. Toplanan kanıtlar, kampanyanın amacının casusluk ve veri hırsızlığı olduğunu gösteriyor. Şu anda siber açıdan en tehlikeli bölgelerden biri olan Güneydoğu Asya örneğini izleyen bu tür saldırılar, Avrupa'da da düşünülebilir.
Güneydoğu Asya'daki askeri kuruluşları hedefleme
Bitdefender Labs uzmanları, bu operasyonun kurbanlarının Güneydoğu Asya'daki askeri kuruluşlar olduğunu tespit edebildi. Kampanya Haziran 2019 ile Mart 2021 arasında aktifti. Harekatın başında saldırganlar, saldırının ilk aşaması olarak Aria body loader ve "Nebulae" adlı yeni bir arka kapı kullandı. Eylül 2020 itibarıyla grup, araç setine arka kapı RainyDay'i ekledi.
Yan yükleme teknikleri kullanılır
DLL kaçırma ve diğer yandan yükleme teknikleri çok uzun zamandır ortalıkta dolaşıyordu. Sık sık meydana gelirler ve teoride iyi bir şekilde savuşturulabilirler. Ancak kağıt üzerinde basit görünen şeyler, giderek daha karmaşık hale gelen yazılım dünyasında hızla bir sorun haline geliyor. Bu nedenle bilgisayar korsanları, hem özel hem de devlet müşterileri için taviz vermek için yandan yüklemeyi kullanır. Naikon grubu, bu saldırı dalgası kapsamında çok sayıda meşru uygulamayı da suistimal etti.
Yeni arka kapı/öldürme zinciri yeniden oluşturuldu
RainyDay arka kapısı tarafından çalıştırılan araçlar (Resim: Bitdefender).
Bitdefender Labs ayrıca Nebulae adını verdikleri yeni bir arka kapı keşfetti. Nebulae, savunma birincil arka kapıyı kaldırdığında davetsiz misafirler için bir yedek görevi görür. Bitdefender uzmanları, bu Naikon Group kampanyasının tüm öldürme zincirini yeniden oluşturmayı ve kullanılan tüm araçları listelemeyi başardı. Bitdefender, saldırının tüm ayrıntılarını İngilizce bir PDF raporunda sunar.
Bitdefender.com'da daha fazlası