Araştırmacılar, ScanBox JavaScript tabanlı keşif aracını yerleştirmeye çalışan, muhtemelen APT TA423 tarafından gerçekleştirilen bir sulama deliği saldırısını ortaya çıkardı.
Çin merkezli bir tehdit aktörü, ScanBox keşif çerçevesini, aralarında Avustralya'nın yerel kuruluşları ve Güney Çin Denizi'ndeki açık deniz enerji firmalarının da bulunduğu kurbanlara dağıtma çabalarını hızlandırdı. Gelişmiş tehdit grubu (APT) tarafından kullanılan yem, sözde Avustralya haber sitelerine bağlantı veren hedefli mesajlardır.
Proofpoint'in Tehdit Araştırma Ekibi ve PwC'nin Tehdit İstihbarat ekibi tarafından Salı günü yayınlanan bir rapora göre, siber casusluk kampanyalarının Nisan 2022'den Haziran 2022 ortasına kadar başlatıldığına inanılıyor.
Araştırmacılara göre tehdit aktörünün, Red Ladon olarak da bilinen Çin merkezli APT TA423 olduğuna inanılıyor. Rapora göre, "Proofpoint, bu faaliyetin Çin'in Hainan Adası dışında faaliyet gösterdiği değerlendirilen birçok raporun tehdit aktörü TA423/Red Ladon'a atfedilebileceğini orta düzeyde bir güvenle değerlendiriyor."
APT en son, yakın tarihli bir iddianameyle tanınıyor. Araştırmacılar, "ABD Adalet Bakanlığı tarafından 2021 yılında hazırlanan bir iddianamede, TA423 / Red Ladon'un Hainan Eyaleti Devlet Güvenlik Bakanlığı'na (MSS) uzun süredir destek sağladığı değerlendirildi" dedi.
MSS, Çin Halk Cumhuriyeti'nin sivil istihbarat, güvenlik ve siber polis teşkilatıdır. Karşı istihbarattan, yabancı istihbarattan, siyasi güvenlikten sorumlu olduğuna ve Çin'in endüstriyel ve siber casusluk çabalarıyla bağlantılı olduğuna inanılıyor.
ScanBox'ın Tozunun Alınması
Kampanya ScanBox çerçevesinden yararlanıyor. ScanBox, düşmanlar tarafından gizli keşif gerçekleştirmek için kullanılan, özelleştirilebilir ve çok işlevli, Javascript tabanlı bir çerçevedir.
ScanBox, rakipler tarafından yaklaşık on yıldır kullanılıyor ve dikkat çekicidir çünkü suçlular, bu aracı hedef sisteme kötü amaçlı yazılım yerleştirmeye gerek kalmadan karşı istihbarat yürütmek için kullanabilirler.
PwC araştırmacılarına göre önceki bir kampanyaya atıfta bulunarak "ScanBox özellikle tehlikelidir, çünkü bilgileri çalmak için kötü amaçlı yazılımın diske başarılı bir şekilde yerleştirilmesini gerektirmez; tuş kaydetme işlevi yalnızca JavaScript kodunun bir web tarayıcısı tarafından yürütülmesini gerektirir."
Saldırganlar, kötü amaçlı yazılım yerine, sulama deliği saldırılarıyla birlikte ScanBox'ı kullanabilir. Saldırganlar, kötü amaçlı JavaScript'i, ScanBox'ın bir keylogger gibi davranarak, virüs bulaşmış bir sulama deliği web sitesinde bir kullanıcının yazdığı tüm etkinlikleri yakalayan, güvenliği ihlal edilmiş bir web sitesine yükler.
TA423'ün saldırıları, "Hastalık İzni", "Kullanıcı Araştırması" ve "İşbirliği Talebi" gibi başlıklarla kimlik avı e-postalarıyla başladı. Çoğu zaman e-postaların, kurgusal bir kuruluş olan "Avustralya Sabah Haberleri"nin bir çalışanından geldiği iddia ediliyordu. Çalışan, hedeflerden "mütevazi haber web siteleri" olan australianmorningnews[.]com'u ziyaret etmeleri için yalvardı.
Araştırmacılar, "Bağlantıya tıklayıp siteye yönlendirildikten sonra ziyaretçilere ScanBox çerçevesi sunuldu" diye yazdı.
Bağlantı, hedefleri BBC ve Sky News gibi gerçek haber sitelerinden kopyalanan içeriğin bulunduğu bir web sayfasına yönlendirdi. Bu süreçte ScanBox kötü amaçlı yazılım çerçevesini de sağladı.
Su birikintilerinden toplanan ScanBox keylogger verileri, çok aşamalı bir saldırının parçasıdır ve saldırganlara gelecekte onlara karşı saldırılar düzenlemelerine yardımcı olacak potansiyel hedefler hakkında bilgi verir. Bu tekniğe genellikle tarayıcı parmak izi adı verilir.
Birincil, ilk komut dosyası, işletim sistemi, dil ve yüklü Adobe Flash sürümü de dahil olmak üzere hedef bilgisayar hakkında bir bilgi listesi sağlar. ScanBox ayrıca tarayıcı uzantılarını, eklentilerini ve WebRTC gibi bileşenleri kontrol eder.
Araştırmacılar, "Modül, web tarayıcılarının ve mobil uygulamaların uygulama programlama arayüzleri (API'ler) üzerinden gerçek zamanlı iletişim (RTC) gerçekleştirmesine olanak tanıyan, tüm önemli tarayıcılarda desteklenen ücretsiz ve açık kaynaklı bir teknoloji olan WebRTC'yi uyguluyor. Bu, ScanBox'ın bir dizi önceden yapılandırılmış hedefe bağlanmasına olanak tanıyor" diye açıklıyor.
Düşmanlar daha sonra S adı verilen bir teknolojiden yararlanabilirler.
TUN (NAT için Oturum Geçiş Yardımcı Programları). Araştırmacılar, bunun, etkileşimli iletişimlerin (gerçek zamanlı ses, video ve mesajlaşma uygulamaları dahil) ağ adresi çevirici (NAT) ağ geçitlerinden geçmesine olanak tanıyan bir ağ protokolü de dahil olmak üzere standartlaştırılmış bir yöntemler kümesi olduğunu açıklıyor.
"STUN, WebRTC protokolü tarafından desteklenmektedir. İnternette bulunan bir üçüncü taraf STUN sunucusu aracılığıyla, ana bilgisayarların bir NAT'ın varlığını keşfetmesine ve NAT'ın, uygulamanın Kullanıcı Datagram Protokolü (UDP) uzak ana bilgisayarlara akışı için tahsis ettiği eşlenen IP adresini ve bağlantı noktası numarasını keşfetmesine olanak tanır. ScanBox, istemcilerin mümkün olduğu kadar doğrudan iletişim kurması için kullanılan bir eşler arası iletişim yöntemi olan Etkileşimli Bağlantı Kuruluşu'nun (ICE) bir parçası olarak STUN sunucularını kullanarak NAT geçişini uygular. araştırmacılara göre NAT'lar, güvenlik duvarları veya diğer çözümler aracılığıyla iletişim kurmaktan kaçınmak.
"Bu, ScanBox modülünün STUN sunucularıyla ICE iletişimi kurabileceği ve NAT arkasında olsalar bile kurban makinelerle iletişim kurabileceği anlamına geliyor" diye açıklıyorlar.
Tehdit Aktörleri
Proofpoint'in tehdit araştırması ve tespitinden sorumlu başkan yardımcısı Sherrod DeGrippo, yaptığı açıklamada, tehdit aktörlerinin "Tayvan'daki son gerilimler de dahil olmak üzere Güney Çin Denizi ile ilgili konularda Çin hükümetini desteklediğini" açıkladı: "Bu grup özellikle bölgede kimin aktif olduğunu bilmek istiyor ve kesin olarak söyleyemesek de, denizcilik konularına odaklanmaları Malezya, Singapur, Tayvan ve Avustralya gibi yerlerde muhtemelen sabit bir öncelik olmaya devam edecek."
Grup geçmişte Avustralasya'nın çok ötesine genişledi. Adalet Bakanlığı'nın Temmuz 2021 tarihli iddianamesine göre grup, "Amerika Birleşik Devletleri, Avusturya, Kamboçya, Kanada, Almanya, Endonezya, Malezya, Norveç, Suudi Arabistan, Güney Afrika, İsviçre ve Birleşik Krallık'taki kurbanlardan" ticari sırları ve gizli iş bilgilerini çaldı. Hedeflenen sektörler arasında diğerlerinin yanı sıra havacılık, savunma, eğitim, hükümet, sağlık hizmetleri, biyofarmasötik ve denizcilik yer alıyor.
Adalet Bakanlığı'nın iddianamesine rağmen analistler, TA423'te "operasyonel tempoda belirgin bir bozulma gözlemlemediler" ve "toplu olarak TA423/Red Ladon'un istihbarat toplama ve casusluk misyonunu sürdürmeye devam etmesini bekliyorlar."