Çinli siber tehdit aktörü FamousSparrow, geçtiğimiz yıl yaptığı bir siber saldırı ile ABD ve Meksika’daki önemli kuruluşları hedef aldı. Saldırılar, FamousSparrow grubunun ünlü SparrowDoor backdoor’unun yeni ve daha gelişmiş varyantlarını kullanarak gerçekleştirdiği tespit edilen ilk büyük saldırıydı. Ayrıca, bu saldırılarda ShadowPad adlı bir diğer kötü amaçlı yazılım da kullanıldı. ShadowPad, daha önce Çin devlet destekli aktörler tarafından yaygın olarak kullanılan bir malware türüdür.
FamousSparrow Grubunun Yeni Stratejisi
ESET’in yayınladığı rapora göre, FamousSparrow grubu, Temmuz 2024’teki siber saldırılar sırasında iki yeni ve daha önce belgelenmemiş SparrowDoor varyantını kullanmış. Bu varyantlar, önceki sürümlerine göre büyük iyileştirmeler içeriyor ve komutları paralel olarak çalıştırabilme yeteneğine sahip. Ayrıca, bir varyant modüler bir yapı benimsemiş, bu da tehdit aktörlerinin çok daha esnek ve verimli bir şekilde saldırı yapmalarını sağlamış.
ESET, FamousSparrow grubunun ilk kez 2021 yılında oteller, mühendislik şirketleri, hükümetler ve hukuk bürolarını hedef alarak SparrowDoor’u kullanmaya başladığını belirtiyor. O zamandan beri, grubun Earth Estries, GhostEmperor ve Salt Typhoon gibi diğer tehdit gruplarıyla bazı taktiksel örtüşmeleri olduğu tespit edilmiş.
Ancak ESET, FamousSparrow’yu bağımsız bir tehdit aktörü olarak tanımlıyor. Grubun kullandığı SparrowDoor backdoor’u, özellikle Windows Server ve Microsoft Exchange Server gibi güncel olmayan sistemleri hedef alarak bu tür saldırılara açık olan kuruluşlara sızıyor.
Saldırı Zinciri ve Kullanılan Yöntemler
Saldırı zinciri, bir Internet Information Services (IIS) sunucusunda bulunan bir web shell aracılığıyla başlıyor. Bu web shell, saldırganın uzak bir sunucudan Base64 şifreli bir .NET web shell’ini indirip çalıştırmasını sağlıyor. Bu web shell, sonunda SparrowDoor ve ShadowPad backdoor’larını kurarak saldırganın sisteme tamamen sızmasına olanak tanıyor.
ESET, SparrowDoor’un daha önceki versiyonlarından önemli ölçüde geliştiğini belirtiyor. Yeni versiyon, zaman alıcı komutları paralel olarak çalıştırabilme yeteneğine sahip. Bu sayede, bir yandan komutları işlerken diğer yandan da sistemdeki diğer işlemleri de paralel şekilde sürdürebiliyor.
Modüler Yapı ile Daha Esnek Saldırılar
SparrowDoor’un ikinci versiyonu, daha önceki tüm varyantlardan farklı bir yapı sunuyor. Modüler bir yapıya sahip olan bu varyant, aşağıdaki dokuz farklı modülü destekliyor:
- Cmd – Tek bir komut çalıştırma
- CFile – Dosya sistemi işlemleri
- CKeylogPlug – Tuş kaydını loglama
- CSocket – TCP proxy başlatma
- CShell – Interaktif shell oturumları başlatma
- CTransf – Dosya transferi başlatma
- CRdp – Ekran görüntüleri alma
- CPro – Çalışan işlemleri listeleme ve öldürme
- CFileMonitor – Belirtilen dizinlerdeki dosya sistemi değişikliklerini izleme
Bu modüler yapı, grubun hedef aldığı sisteme yönelik çok daha hedeflenmiş ve esnek saldırılar düzenlemesine olanak tanıyor.
Sonuç ve İleriye Dönük Riskler
ESET, bu yeni faaliyetlerin, FamousSparrow grubunun hala aktif olduğunu ve SparrowDoor’un yeni sürümlerini geliştirmeye devam ettiğini gösterdiğini belirtiyor. Grubun saldırılarının, özellikle eski ve güncel olmayan yazılımlar kullanan kuruluşları hedef almasının, siber güvenlik açısından büyük bir tehdit oluşturduğuna dikkat çekiliyor.
Bu saldırılar, yalnızca FamousSparrow grubunun değil, Çinli tehdit aktörlerinin uzun vadeli stratejilerini ve gelişmiş siber tehdit tekniklerini gözler önüne seriyor. Saldırılara karşı daha etkili savunmalar geliştirilmesi gerektiği vurgulanırken, kullanıcıların ve kuruluşların yazılım güncellemelerini aksatmaması gerektiği bir kez daha hatırlatılıyor.
Diğer haber yazılarımıza buradan ulaşabilirsiniz. Keyifli okumalar!
Leave a Comment