Çin Bağlantılı Hackerlar Güneydoğu Asya Kritik Altyapılarını TinyRCT Backdoor ile Hedef Aldı Yazılım

Çin Bağlantılı Hackerlar Güneydoğu Asya Kritik Altyapılarını TinyRCT Backdoor ile Hedef Aldı

Palo Alto Networks Unit 42, Çin bağlantılı bir tehdit aktörünün Güneydoğu Asya'daki kritik altyapıları hedef alan yeni bir kampanyasını ve daha önce b

Palo Alto Networks'in tehdit istihbarat birimi Unit 42, Çin bağlantılı bir tehdit aktörünün Güneydoğu Asya'daki hükümet kurumlarını ve kritik altyapıları hedef alan sürekli bir siber saldırı kampanyasını ortaya çıkardı. CL-STA-1062 kod adıyla izlenen grup, en az Mart 2022'den beri aktif. 2025 yılı boyunca gözlemlenen bu yeni kampanya, özellikle enerji ve hükümet sektörlerindeki devlete ait işletmeleri hedef aldı. Unit 42'nin 25 Haziran'da yayınladığı rapora göre, kritik altyapıya odaklanılması, 'bölgesel kilit endüstrileri bozma veya izleme konusunda net bir stratejik ilgi' olduğunu ve 'önemli jeopolitik veya ekonomik etkileri olabilecek sistemleri tehlikeye atmak için kasıtlı bir çaba' gösterildiğini işaret ediyor.

Bu kampanyada CL-STA-1062, ortak açık kaynak araçları ile özel geliştirilmiş kötü amaçlı yazılımları birleştiren hibrit bir araç seti kullandı. Sık kullanılan açık kaynak araçlar arasında güvenli iletişim için SoftEther VPN, kimlik bilgisi toplama için Mimikatz ve ağ geçişi için VNT yer alıyor. Ayrıca tehdit grubu, ilk kez TinyRCT adlı daha önce belgelenmemiş bir backdoor kullandı. Bu backdoor, ele geçirilen sistemlerde kalıcı erişim ve kontrol sağlamak üzere tasarlanmış. TinyRCT'nin yetenekleri arasında keyfi komut yürütme, dosya numaralandırma ve sızdırma, ekran görüntüsü alma ve en endişe verici olanı, saldırganların varlıklarına dair kanıtları sistemden silmesine olanak tanıyan kendini imha mekanizması bulunuyor.

TinyRCT, normal sistem etkinliğiyle uyum sağlayarak tespit edilmekten kaçınacak şekilde gizli çalışacak şekilde tasarlanmış. Komuta ve kontrol (C2) sunucularıyla şifreli iletişim kurarak talimat alıyor ve veri sızdırıyor. Kendini imha özelliği, C2 sunucusundan gelen belirli bir komutla tetikleniyor ve backdoor'un amacına ulaştıktan veya operasyon tehlikeye girdikten sonra sistemden kaldırılmasını sağlıyor. Unit 42 araştırmacıları, 'TinyRCT, gizli tasarımı ve kendini imha mekanizması nedeniyle özellikle endişe verici. Bu backdoor, saldırganların tespit edilmekten kaçınırken kalıcılık sağlamasına olanak tanıyor ve gerektiğinde izlerini silmek için kendini yok edebiliyor' dedi.

Araştırmacılar, TinyRCT gibi özel bir backdoor kullanımının, tehdit aktörünün yüksek düzeyde karmaşıklık ve kaynak sahibi olduğunu gösterdiğini, bunun da devlet destekli veya önemli finansal desteğe işaret ettiğini vurguladı. İsimsiz bir Güneydoğu Asya ülkesinde, ikisi devlete ait enerji kuruluşu olmak üzere üç kritik altyapı kuruluşunun CL-STA-1062'nin kullandığına benzer taktiklerle saldırıya uğradığı tespit edildi. Araştırmacılar, 'Ekim ve Aralık 2025 arasında, Güneydoğu Asya'da en az on farklı kuruluşun tehlikeye atıldığını gözlemledik' diye ekledi.

Detaylar ve Etkileri

Unit 42 araştırmacıları, bu faaliyet kümesinin Cisco Talos tarafından UAT-7237 olarak izlenen ve 2025 ortasında Tayvan'daki web barındırma altyapısını hedef alan kampanyalarla bağlantılı olduğunu yüksek güvenle değerlendiriyor. 2022'den beri Doğu Asya genelindeki operasyonel tempo, tehdit aktörünün sürekli ve kasıtlı bir bölgesel odaklanması olduğunu gösteriyor. 'Bu kampanya, sofistike düşmanların oluşturduğu kalıcı ve gelişen tehdidin çarpıcı bir hatırlatıcısıdır' diyen Unit 42 araştırmacıları, 'Kuruluşlar, bu tür hedefli saldırılara karşı savunma yapmak için güvenlik duruşlarında uyanık ve proaktif olmalıdır' uyarısında bulundu.

Kritik altyapı sektörlerindeki kuruluşlar için bu saldırı, siber güvenlik önlemlerini güçlendirmeleri gerektiğini bir kez daha ortaya koyuyor. Özellikle devlete ait enerji şirketleri, jeopolitik gerilimlerin odağında yer alıyor. Uzmanlar, ağ segmentasyonu, çok faktörlü kimlik doğrulama, düzenli güvenlik güncellemeleri ve gelişmiş tehdit tespit sistemlerinin bu tür backdoor saldırılarına karşı kritik olduğunu belirtiyor. Ayrıca, çalışanların sosyal mühendislik saldırılarına karşı eğitilmesi ve anormal sistem davranışlarının izlenmesi, TinyRCT gibi gizli backdoor'ların erken tespitinde hayati rol oynuyor.

Kaynak: infosecurity-magazine.com

Paylaş: