Çince konuşan bir tehdit oyuncusu, birkaç Asya organizasyonunun ağlarını geri yüklemek ve ağlarındaki daha güvenli alanlara erişmek için bina otomasyon sistemlerine (HVAC, Fire ve Güvenlik işlevlerini kontrol etmek için kullanılan) hackledi.
Etkinliği Kaspersky ICS sertifika araştırmacıları tarafından tespit edilen APT grubu, toplu olarak proxylogon olarak bilinen Microsoft Exchange güvenlik açıklarından biri olan CVE-2021-26855'e karşı açılmış cihazlara odaklandı.
Tehdit aktörleri, Hollanda Güvenlik Açığı Açıklama Enstitüsü'nün (DIVD), Microsoft'un onları yamaladıktan bir hafta sonra proxylogon kusurlarına karşı 46.000 sunucu bulduğunu görerek, çok sayıda potansiyel kurban hedefine sahipti.
Geçen yıl, Slovak internet güvenlik firması ESET, en az on hack grubunun Mart 2021'de proxylogon istismarlarını kullandığını, Wild Insouting ise 3 Ocak'ta Microsoft'un 2 Mart'ta yamalar yayınlamasından çok önce başladı.
Mühendislik bilgisayarlarını hedeflerinin bina otomasyon sistemi içinde ihlal ettikten sonra, Çinli saldırganlar, kurbanların altyapısının diğer bölümlerini bilgi güvenlik sistemleri de dahil olmak üzere ancak bunlarla sınırlı olmamak üzere tehlikeye atabilirler.
Kaspersky ICS CERT güvenlik uzmanı Kirill Kruglov, "Bina otomasyon sistemleri gelişmiş tehdit aktörleri için nadir hedeflerdir." Dedi.
"Bununla birlikte, bu sistemler son derece gizli bilgilerin değerli bir kaynağı olabilir ve saldırganlara diğer, daha güvenli altyapı alanlarına bir arka kapı sağlayabilir."
Araştırmacılar, saldırıları analiz ederken, Microsoft tarafından Hafnium olarak izlenen ve Exchange Proxylogon istismarlarını da kullandığı bilinen başka bir Çin APT grubuna bağlantılar buldular.
Saldırılar Mart 2021'de başladı ve ilk olarak tespit edildi ve toplu olarak, bir Shadowpad arka kapısı keşfettikten sonra Ekim 2021'in ortalarından başlayarak aynı grup tarafından koordine edildi (Çince konuşan diğer birçok APT aktörleri tarafından kullanıldı).
Meşru yazılım olarak kamufle edilen arka kapı, Pakistan'daki bir telekomünikasyon firmasının endüstriyel kontrol sistemlerinde bulundu.
Bu kampanya boyunca, tehdit aktörleri ayrıca CobaltStrike Framework, Plugx Backdoor, Web Kabukları, Kimlik Bilgisi Hırsızlığı Komut dosyaları ve açık kaynaklı NextNet Network tarayıcısı dahil olmak üzere diğer kötü amaçlı yazılım ve araçlar da kullandı.
Grubun nihai hedefi bilinmiyor, ancak Kaspersky ICS CERT araştırmacıları saldırganların büyük olasılıkla hassas bilgiler için avlandığına inanıyorlar.
Raporda, "Bu sistemlerin kendilerinin son derece gizli bilgilerin değerli bir kaynağı olabileceğine inanıyoruz. Ayrıca, saldırganlara daha sıkı bir şekilde güvenli bir altyapıya arka kapı sağlama şansı olduğuna inanıyoruz."
Diyerek şöyle devam etti: "Bu tehdit oyuncunun tekrar grev yapması muhtemel olduğuna inanıyoruz ve farklı ülkelerde yeni kurbanlar bulacağız."
Uzlaşma göstergeleri ve teknik detaylar dahil ek bilgiler Kaspersky ICS CERT'in raporunda mevcuttur.
Çin Hacking Grubu Aoqin Dragon sessizce casusluk orgs on yıldır
Çin Luoyu Hackers, Uygulama Güncellemeleri aracılığıyla Cyber-Repionage kötü amaçlı yazılımları dağıtıyor
Cyberspies, backdoors dağıtmak, Exchange e -postalarını çalmak için IP kameraları kullanın
Yeni Toddycat Apt Gang tarafından hacklenen Microsoft Exchange Sunucuları
Bilgisayar korsanları Rus Govt'u sahte pencerelerle iterek iten sıçanları hedeflemek
Kaynak: Bleeping Computer