Çin Bağlantılı Hackerlar TinyRCT Arka Kapısıyla Asya Kritik Altyapısına Saldırıyor Yazılım

Çin Bağlantılı Hackerlar TinyRCT Arka Kapısıyla Asya Kritik Altyapısına Saldırıyor

Çin bağlantılı bir tehdit aktörünün Güneydoğu Asya'daki devlet kurumlarını ve kritik altyapıyı hedef alan sürekli bir kampanyası, Palo Alto Networks'ü...

Çin bağlantılı bir tehdit aktörünün Güneydoğu Asya'daki devlet kurumlarını ve kritik altyapıyı hedef alan sürekli bir kampanyası, Palo Alto Networks'ün Birim 42'sindeki araştırmacılar tarafından ortaya çıkarıldı.

Birim 42 araştırmacıları tarafından CL-STA-1062 olarak takip edilen grup, en az Mart 2022'den beri aktif.

2025 yılı boyunca gözlemlenen bu yeni kampanya, özellikle Güneydoğu Asya'daki enerji ve kamu sektörlerindeki devlete ait işletmeleri hedef aldı.

25 Haziran'da yayınlanan Unit 42 raporunda, kritik altyapıya odaklanılmasının, "temel bölgesel endüstrileri bozmaya veya izlemeye yönelik açık bir stratejik ilgiye" işaret ettiği ve "önemli jeopolitik veya ekonomik etkileri olabilecek sistemleri tehlikeye atmak için kasıtlı bir çaba" önerdiği belirtildi.

CL-STA-1062 TinyRCT Arka Kapısını Tanıttı

Bu kampanyada CL-STA-1062, ortak açık kaynaklı araçları özel geliştirilmiş kötü amaçlı yazılımlarla birleştiren hibrit bir araç seti kullandı. Sıklıkla kullanılan açık kaynaklı araçlar arasında güvenli iletişim için SoftEther VPN, kimlik bilgileri toplama için Mimikatz ve ağ geçişi için VNT bulunmaktadır.

Ayrıca tehdit grubu, güvenliği ihlal edilmiş sistemler üzerinde kalıcı erişim ve kontrol sağlamak üzere tasarlanmış, daha önce belgelenmemiş bir arka kapı olan TinyRCT'yi ilk kez kullandı.

Detaylar ve Etkileri

TinyRCT'nin yetenekleri, saldırganların virüslü sistem üzerinde herhangi bir komutu çalıştırmasına olanak tanıyan rastgele komut yürütmeyi içerir.

Ayrıca dosya numaralandırma ve sızdırma olanağı sunarak tehdit aktörlerine hassas belgeleri veya fikri mülkiyet haklarını tespit etme ve çalma olanağı verir.

Ek olarak TinyRCT, kurbanın masaüstünün ekran görüntülerini yakalayarak kullanıcının etkinliklerine ilişkin görsel bilgiler sağlayabilir.

Nasıl Önlem Alınmalı?

Belki de en endişe verici olanı, arka kapının, saldırganların varlığına dair kanıtları tehlikeye atılmış sistemden silmesine olanak tanıyan, adli analiz ve olaya müdahale çabalarını karmaşık hale getiren kendi kendini yok etme mekanizmasıdır.

Teknik Analiz

Arka kapı, normal sistem etkinliğine karışarak tespit edilmeyi önleyecek şekilde gizlice çalışacak şekilde tasarlanmıştır. Talimatları almak ve veri sızdırmak için komuta ve kontrol (C2) sunucularıyla iletişim kurar ve iletişimlerini gizlemek için şifreleme kullanır. Kendi kendini yok etme özelliği, C2 sunucusundan gelen belirli bir komutla tetiklenerek, amacına ulaşıldığında veya operasyon tehlikeye girdiğinde arka kapının güvenliği ihlal edilmiş sistemlerden kaldırılabilmesini sağlar.

Unit 42 araştırmacıları, "TinyRCT, gizli tasarımı ve kendi kendini yok etme mekanizması nedeniyle özellikle endişe verici" dedi. "Bu arka kapı, saldırganların tespit edilmekten kaçınırken ısrarcı olmalarını sağlıyor ve gerektiğinde izlerini gizlemek için kendini silebilir."

Sonuç ve Değerlendirme

Araştırmacılar Çin Devleti Destekli Bir Kampanyadan Şüpheleniyor

Araştırmacılar ayrıca, TinyRCT gibi özel bir arka kapı kullanımının, tehdit aktörünün yüksek düzeyde gelişmişlik ve becerikliliğe işaret ettiğini, bunun da devlet destekli müdahale veya önemli mali destek anlamına geldiğini vurguladı.

İsimsiz bir Güneydoğu Asya ülkesinde, devlete ait iki enerji kuruluşu da dahil olmak üzere üç kritik altyapı kuruluşunun, CL-STA-1062 tarafından kullanılanlara benzer taktiklerle saldırıya uğradığını belirlediler.

Araştırmacılar, "Ekim ve Aralık 2025 arasında, Güneydoğu Asya'daki en az on farklı kuruluşun olası uzlaşmasını gözlemledik" diye ekledi.

Ayrıca, bu etkinlik kümesinin, 2025 ortasında Tayvan'daki web barındırma altyapısını hedefleyen kampanyalar için bildirilen UAT-7237 ile Cisco Talos tarafından takip edilen grupla aynı grup olduğunu "yüksek güvenle" değerlendirdiler.

2022'den bu yana Doğu Asya'daki daha geniş operasyonel tempo, tehdit aktörünün sürekli ve kasıtlı bir bölgesel odaklanmaya işaret ettiğini gösteriyor.

Önemli Gelişmeler

Unit 42 araştırmacıları, "Bu kampanya, sofistike düşmanların oluşturduğu kalıcı ve gelişen tehdidin açık bir hatırlatıcısı olarak hizmet ediyor" dedi.

"Kuruluşların bu tür hedefli saldırılara karşı savunma yapmak için güvenlik duruşlarında dikkatli ve proaktif kalmaları gerekiyor."

Paylaş: