Çin Bağlantılı Hackerlar, Uzun Süreli Casusluk Kampanyasında Güneydoğu Asya Askeri Sistemlerini İhlal Etti

CL – STA -1087 olarak izlenen sofistike ve uzun süredir devam eden bir siber casusluk kampanyası, en az 2020 'den beri Güneydoğu Asya'daki askeri örgütleri sessizce hedef alıyor. Çin bağlantılı bir tehdit aktörüyle bağlantılı olduğu ılımlı bir güvenle değerlendirilen operasyon, sadece büyük miktarda veri çalmak yerine stratejik ve operasyonel istihbarat toplamaya odaklanıyor. Saldırganlar, zaman içinde tespit edilmekten kaçınmak için özel olarak oluşturulmuş araçlar ve dikkatli teknikler kullanarak gizli kalmaya öncelik verdi. Kampanya ilk olarak, uç nokta güvenlik araçları hedeflenen bir askeri ağ içindeki yönetilmeyen bir uç noktadaki şüpheli PowerShell etkinliğini işaretlediğinde ortaya çıktı. Müfettişler bunun yeni bir izinsiz giriş olmadığını çabucak anladı. Saldırganlar, birden fazla komuta ve kontrol (C2) sunucusuna bağlanan gecikmeli yürütme komut dosyalarını çalıştıran bir dayanak oluşturmuştu. Bu komut dosyaları, eylemler arasında altı saatlik aralıklarla uyumak üzere tasarlandı; bu, etkinlikteki olağandışı ani artışları izleyen otomatik algılama araçlarını atlatmak için kasıtlı bir hareketti. PolySwarm analistleri, bu kampanyada kullanılan birincil arka kapı örnekleri olan AppleChris'i tespit ederek casusluk operasyonundaki aktif rolünü doğruladı. Birkaç ay sessiz kaldıktan sonra, tehdit aktörleri yeniden ortaya çıktı ve tehlikeye giren ağlar arasında yanal olarak hareket etmeye başladı. Kötü amaçlı yazılımları etki alanı denetleyicilerine, web sunucularına, BT iş istasyonlarına ve yürütme sistemlerine yaymak için Windows Yönetim Enstrümantasyonu (WMI) ve yerel Windows .NET komutlarını kullandılar — hepsi askeri bir ortamdaki yüksek değerli hedeflerdi. Komuta, Kontrol, İletişim, Bilgisayar ve İstihbarat (C4I) sistemlerine odaklanmaları, bu operasyonun gerçekte ne kadar kasıtlı olduğunu ortaya koymaktadır. Palo Alto'nun Birim 42 'si bu faaliyet hakkında rapor verdi ve kampanyanın kapsamına ve karmaşıklığına daha fazla ışık tuttu.