Çin devlet destekli hack grubu tuz tayfun, telekomünikasyon hizmet sağlayıcılarına yönelik saldırılarda yeni bir "hayaletSspider" arka kapı kullanılarak gözlendi.
Arka kapı, tuz typhoon'un dünya çapında kritik altyapıya ve hükümet kuruluşlarına karşı saldırılarını izleyen trend micro tarafından keşfedildi.
Ghostsspider ile birlikte Trend Micro, tehdit grubunun 'Masol Rat' adlı daha önce belgelenmiş bir Linux arka kapı, 'Demodex' adlı bir rootkit ve 'Snappybee' adlı Çin apt grupları arasında paylaşılan modüler bir arka kapı kullandığını keşfetti.
Salt Typhoon (aka 'Earth Astries', 'Ghostempor' veya 'UNC2286') en az 2019'dan beri aktif olan ve tipik olarak hükümet kuruluşlarını ve telekomünikasyon şirketlerini ihlal etmeye odaklanan sofistike bir hack grubudur.
Son zamanlarda, ABD yetkilileri, tuz tayfunun, Verizon, AT&T, Lumen Technologies ve T-Mobile dahil olmak üzere ABD'deki telekomünikasyon hizmet sağlayıcılarının birkaç başarılı ihlalinin arkasında olduğunu doğruladılar.
Daha sonra Salt Typhoon'un bazı ABD hükümet yetkililerinin özel iletişimine girmeyi başardığı ve mahkeme yetkili telefonla telafi talepleriyle ilgili bilgileri çalmayı başardığı kabul edildi.
Bugün daha önce Washington Post, ABD'deki yetkililerin, Salt Typhoon'un iletişimlerinin gizliliğini ihlal ettiği gerçeğini, özellikle D.C. bölgesinde 150 kurbanı bildirdiğini bildirdi.
Trend Micro'ya göre, Salt Typhoon ABD, Asya-Pasifik, Orta Doğu, Güney Afrika ve diğer bölgelerde telekomünikasyona, devlet kuruluşlarına, teknolojiye, danışmanlık, kimyasallara ve ulaşım sektörlerine saldırdı.
Güvenlik araştırmacıları, bazı durumlarda satıcıları da dahil olmak üzere kritik organizasyonları başarıyla tehlikeye atan en az yirmi tuz tayfun vakasını teyit etmişlerdir.
Raporda vurgulanan iki kampanya, Demodex ve Snappybee kullanan Tayvan hükümetini ve kimyasal üreticileri ve Ghostspider ve Demodex'i kullanan Güneydoğu Asya telekomünikasyonlarına ve hükümet ağlarına karşı uzun vadeli bir casusluk olan 'Beta' hedefleyen 'Alpha'.
Başlangıç erişim, aşağıdaki kusurlar için istismarlar kullanılarak, kamuoyuna yönelik savunmasız kamuya açık uç noktalarının kullanımı ile elde edilir:
Salt Typhoon, kontrat sonrası aşamada istihbarat toplama ve yanal ağ hareketi için lolbin araçlarını kullanır.
Ghostspider, şifreleme yoluyla elde edilen ve yalnızca bellekte ikamet eden yüksek düzeyde gizlilik gerektiren uzun süreli casusluk işlemleri için tasarlanmış modüler bir arka kapıdır.
Hedef sisteme DLL kaçırma kullanılarak yüklenir ve meşru 'regsvr32.exe' aracı aracılığıyla hizmet olarak kaydedilirken, ikincil bir modül olan Beacon yükleyici, doğrudan bellekte şifrelenmiş yükleri yükler.
GhostSpider, meşru trafikle karışmak için HTTP başlıkları veya çerezler içinde gizlenmiş komut ve kontrol (C2) sunucusundan alınan komutları yürütür.
Arka kapı aşağıdaki komutları destekler:
Bu komutların yapısı arka kapı çok yönlülüğü verir ve tuz tayfunun, kurbanın ağına ve savunmalarına bağlı olarak saldırılarını gerektiği gibi ayarlamasına izin verir.
Ghostsspider'ın yanı sıra, Salt Typhoon, kenar cihazlarından bulut ortamlarına kadar uzanan karmaşık, çok aşamalı casusluk operasyonları yürütmelerini sağlayan diğer Çin tehdit aktörleri arasında paylaşılan bir dizi tescilli araca güveniyor.
Sonuç olarak, Salt Typhoon'un cephaneliği, araştırmacılar sınırlı görünürlüğe sahip olduğunda ilişkilendirmeyi karmaşık hale getirebilecek yaygın olarak kullanılan araçlar da dahil olmak üzere geniştir.
Trend Micro, tuz tayfunu en agresif Çin uygun gruplarından biri olarak karakterize ederek, organizasyonları uyanık kalmaya ve çok katmanlı siber güvenlik savunmaları uygulamaya çağırıyor.
T-Mobile, son telekom ihlal dalgasında hacklendiğini doğrular
ABD Govt yetkililerinin iletişimi son telekom hackinde tehlikeye atıldı
ABD, Çinli bilgisayar korsanlarının birden fazla telekom sağlayıcısını ihlal ettiğini söylüyor
Rusya, Windows, Android kötü amaçlı yazılımlarla Ukrayna istifalarını hedefliyor
AT&T, Verizon'un ABD Hükümet Televizyon Platformu'nu hedeflemek için hacklendiği bildirildi
Kaynak: Bleeping Computer