Siber Casuslukta Yeni Dalga: Watering Hole Saldırılarıyla ScanBox Keylogger Yayılıyor Yazılım

Siber Casuslukta Yeni Dalga: Watering Hole Saldırılarıyla ScanBox Keylogger Yayılıyor

Çin merkezli APT TA423, Avustralya ve Güney Çin Denizi'ndeki enerji firmalarını hedef alan watering hole saldırılarıyla ScanBox keylogger'ı yayıyor.

Siber güvenlik araştırmacıları, Çin merkezli bir tehdit aktörünün (APT TA423 / Red Ladon) Avustralya'daki kuruluşlar ve Güney Çin Denizi'ndeki offshore enerji firmalarını hedef alan yeni bir watering hole saldırısı kampanyasını ortaya çıkardı. Proofpoint ve PwC ekiplerinin ortak raporuna göre, saldırganlar sahte Avustralya haber sitelerine yönlendiren hedefli e-postalar kullanarak ScanBox adlı JavaScript tabanlı keşif çerçevesini kurbanların sistemlerine bulaştırıyor. Kampanya Nisan 2022'den Haziran 2022 ortasına kadar sürdü.

APT TA423, daha önce ABD Adalet Bakanlığı'nın 2021'deki iddianamesinde yer alan ve Hainan Eyaleti Devlet Güvenlik Bakanlığı'na (MSS) uzun süredir destek sağladığı belirtilen bir grup. MSS, Çin Halk Cumhuriyeti'nin sivil istihbarat, güvenlik ve siber polis teşkilatı olarak karşı istihbarat, dış istihbarat ve siber casusluk faaliyetlerinde bulunuyor. Grup, özellikle Güney Çin Denizi ve Tayvan gerginliği gibi jeopolitik konularda Çin hükümetini desteklemekle ilişkilendiriliyor.

ScanBox, neredeyse on yıldır kullanılan, özelleştirilebilir ve çok işlevli bir JavaScript çerçevesi. En büyük tehlikesi, hedef sistemde dosya bırakmadan çalışabilmesi; keylogger işlevi için yalnızca web tarayıcısında JavaScript kodunun çalıştırılması yeterli. Saldırganlar, ele geçirilmiş bir web sitesine kötü amaçlı JavaScript yerleştirerek kullanıcıların tüm tuş vuruşlarını kaydedebiliyor. Bu teknik, geleneksel malware tespitini atlatıyor.

Nasıl Önlem Alınmalı?

TA423'ün saldırıları, 'Hastalık İzni', 'Kullanıcı Araştırması' ve 'İş Birliği Talebi' gibi başlıklarla gönderilen kimlik avı e-postalarıyla başlıyor. E-postalar, kurgusal 'Australian Morning News' çalışanı tarafından gönderilmiş gibi görünüyor ve hedefleri australianmorningnews[.]com adresine yönlendiriyor. Site, BBC ve Sky News gibi gerçek haber sitelerinden kopyalanmış içerikler sunarken arka planda ScanBox çerçevesini yüklüyor.

ScanBox, kurbanın bilgisayarı hakkında işletim sistemi, dil, Adobe Flash sürümü, tarayıcı eklentileri ve WebRTC gibi bileşenler dahil kapsamlı bilgi topluyor. WebRTC üzerinden STUN (Session Traversal Utilities for NAT) sunucularını kullanarak NAT arkasındaki cihazlarla bile iletişim kurabiliyor. Bu sayede saldırganlar, kurbanların gerçek IP adreslerini ve ağ yapılandırmalarını keşfederek daha hedefli saldırılar düzenleyebiliyor.

Önemli Gelişmeler

ScanBox'un topladığı veriler, çok aşamalı bir saldırının ilk adımını oluşturuyor. Tarayıcı parmak izi (browser fingerprinting) ile saldırganlar, potansiyel hedefler hakkında detaylı profil çıkarıyor ve ardından daha karmaşık saldırılar için zemin hazırlıyor. Proofpoint araştırmacıları, grubun özellikle denizcilik ve enerji sektörlerine odaklandığını ve Malezya, Singapur, Tayvan, Avustralya gibi bölgelerde faaliyet gösterdiğini belirtiyor. Geçmişte ABD, Almanya, Suudi Arabistan gibi birçok ülkeden ticari sır çaldığı iddia edilen grup, siber casusluk faaliyetlerini sürdürüyor.

Kaynak: threatpost.com

Paylaş: