ESET, Çin Bağlantılı Yeni Siber Casusluk Grubunu Tespit Etti

Siber güvenlik alanında faaliyet gösteren ESET, Çin bağlantılı yeni bir gelişmiş kalıcı tehdit (APT) grubunun varlığını ortaya çıkardı. “LongNosedGoblin” olarak adlandırılan bu grubun, Güneydoğu Asya ve Japonya’da devlet kurumlarını hedef alarak siber casusluk faaliyetleri yürüttüğü belirlendi.

Yeni Bulunan APT Grubunun Faaliyetleri

ESET araştırmacıları, Windows sistemlerinde Grup İlkesi’nin kötüye kullanılması yoluyla zararlı yazılımların dağıtıldığı bir siber saldırı zinciri tespit etti. Bu yöntemle, LongNosedGoblin grubunun 2023 yılının Eylül ayından bu yana pek çok devlet kurumunun ağlarına sızdığı ve siber casusluk amaçlı çeşitli yazılımlar kullandığı ortaya kondu. Saldırıların 2024 yılı itibarıyla yeniden yoğunlaştığı gözlemlendi.

Kullanılan Zararlı Yazılımlar ve Araçlar

LongNosedGoblin, kurbanların bilgisayarlarından veri toplamak ve casusluk faaliyetlerini sürdürmek için farklı yazılımlar kullanıyor. Bunlar arasında Google Chrome, Microsoft Edge ve Mozilla Firefox tarayıcı geçmişini elde eden “NosyHistorian” adlı C#/.NET uygulaması yer alıyor. Aynı zamanda “NosyDoor” isimli araç ile sistemin bilgileri toplanıyor ve komutlarla dosya sızdırma, dosya silme ile kabuk komutlarının çalıştırılması sağlanıyor. “NosyStealer” adlı yazılım tarayıcılardan veri çalarken, “NosyDownloader” sistemi içeriden kontrol edebilmek için ek yazılımları indiriyor ve çalıştırıyor. Ayrıca, değişikliğe uğramış bir DuckSharp keylogger olan “NosyLogger” ve ters SOCKS5 proxy gibi diğer casus yazılımlar da grup tarafından kullanılıyor. Grup, bulut servisleri üzerinden (Microsoft OneDrive, Google Drive ve Yandex Disk gibi) Komuta-Kontrol altyapısını da yönetiyor.

Yapılan analizler, kötü amaçlı yazılımların birden fazla tehdit grubu arasında paylaşılabileceğini ve farklı coğrafyalarda çeşitli tekniklerin uygulandığını gösteriyor. Kaynak: BYZHA