ESET, Çin bağlantılı APT grubu TheWizards’ı ve siber silahlarını ortaya çıkardı! 🛡️ Spellbinder (MitM) ile güncelleme trafiğini ele geçirip WizardNet (arka kapı) yüklüyorlar. UPSEC şirketiyle bağlantı tespit edildi. Dikkat! #ESET #APT #TheWizards #SiberGüvenlik #Malware
Küresel siber güvenlik kuruluşu ESET, siber casusluk faaliyetleriyle bilinen ve Çin bağlantılı olduğu değerlendirilen Gelişmiş Kalıcı Tehdit (APT) grubu “TheWizards” tarafından kullanılan sofistike saldırı araçlarını ve yöntemlerini detaylı bir raporla kamuoyuna duyurdu. ESET araştırmacıları, grubun özellikle meşru yazılım güncelleme mekanizmalarını manipüle ederek kurbanların sistemlerine sızmak için kullandığı Spellbinder ve grubun imzası niteliğindeki WizardNet adlı zararlı yazılımları analiz etti.
ESET’in telemetri verilerine ve araştırmalarına göre, TheWizards APT grubu en az 2022 yılından bu yana aktif olarak siber operasyonlar yürütüyor. Grubun hedefleri arasında Filipinler, Kamboçya, Birleşik Arap Emirlikleri gibi ülkelerin yanı sıra Çin ve Hong Kong’daki bireyler, kumar sektöründeki şirketler ve henüz kimliği tam olarak belirlenemeyen diğer kuruluşlar bulunuyor. Grubun en dikkat çekici saldırı yöntemlerinden biri, Spellbinder adını verdikleri özel bir araçla gerçekleştirdikleri “Ortadaki Adam” (Man-in-the-Middle – MitM) saldırıları olarak öne çıkıyor.
ESET araştırmacısı Facundo Muñoz, Spellbinder aracının işleyişini şu şekilde açıkladı: “Bu aracı ilk olarak 2022’de tespit edip inceledik ve 2023 ile 2024 yıllarında güncellenmiş versiyonlarının kullanıldığını gördük. Spellbinder, yerel ağlarda IPv6 Durumsuz Adres Otomatik Yapılandırma (SLAAC) sahtekarlığı yöntemini kullanarak ağ trafiğini gizlice dinlemek ve manipüle etmek üzere tasarlanmış bir MitM aracıdır. Bu yöntemle saldırganlar, özellikle meşru Çin menşeli yazılımların güncelleme sunucularına giden trafiği kendi kontrol ettikleri zararlı sunuculara yönlendiriyorlar. Böylece meşru yazılım, farkında olmadan zararlı bir güncellemeyi indirip çalıştırıyor.”
Bu zararlı güncellemenin nihai amacı ise, TheWizards grubunun özel arka kapı yazılımı olan WizardNet‘i kurbanın sistemine yüklemek. ESET tarafından analiz edilen WizardNet, .NET tabanlı, modüler bir yapıya sahip bir implant olarak tanımlanıyor. Sisteme sızdıktan sonra uzaktaki bir komuta ve kontrol (C&C) sunucusuna bağlanan WizardNet, saldırganların sisteme yeni .NET modülleri göndermesine ve bunları doğrudan bellekte çalıştırmasına olanak tanıyor. Bu sayede saldırganlar, ele geçirdikleri sistem üzerindeki kontrol ve yeteneklerini genişletebiliyorlar. ESET, bu saldırı yönteminin kullanıldığı güncel bir örnek olarak, 2024 yılında popüler mesajlaşma uygulaması Tencent QQ’nun güncelleme mekanizmasının ele geçirilmesini gösterdi ve ilgili zararlı sunucunun hala aktif olduğunu belirtti.
ESET araştırması, teknik analizlerin ötesinde önemli bir bağlantıyı da ortaya koyuyor: TheWizards grubu ile Dianke Network Security Technology (piyasada UPSEC olarak da biliniyor) isimli Çinli teknoloji şirketi arasında bir ilişki olduğu görülüyor. UPSEC şirketinin, daha önceden DarkNights (veya DarkNimbus) olarak bilinen başka bir zararlı arka kapı yazılımının tedarikçisi olduğu biliniyor. İngiltere Ulusal Siber Güvenlik Merkezi (NCSC UK) tarafından yapılan önceki analizlere göre, DarkNights yazılımının özellikle Tibetli ve Uygur topluluklarını hedef aldığı belirtilmişti. ESET’in bulgularına göre, TheWizards’ın kullandığı ele geçirme sunucusunun, WizardNet’i dağıtmanın yanı sıra, Android cihazlardaki uygulamaları güncellemek için DarkNights’ı da sunacak şekilde yapılandırılmış olması, bu iki farklı operasyon ve UPSEC şirketi arasındaki olası bağlantıyı güçlendiriyor.
ESET’in bu kapsamlı araştırması, devlet destekli olduğu düşünülen APT gruplarının ne kadar karmaşık ve sinsi yöntemler kullanabildiğini, özellikle güvenilir yazılım güncelleme zincirlerini nasıl hedef alabildiğini ve farklı siber casusluk operasyonları arasındaki potansiyel bağlantıları gözler önüne sermesi açısından büyük önem taşıyor. Siber Silahları