APT20'den "Operasyon Wocao"

Çin tarafından desteklendiği düşünülen APT20, "Operasyon Wocao" adı verilen yeni bir saldırı kampanyası başlattı.

Ali
Pt, 23/12/2019 - 23:54
Saldırılar
APT20'den "Operasyon Wocao"

Siber güvenlik şirketi Fox-IT, Çin hükümeti tarafından desteklendiği düşünülen APT20'nin yeni bir saldırı kampanyası başlattığını tespit etti.

APT20, geçmişi 2011 yılına kadar dayanan, Çin hükümeti tarafından desteklendiğine inanılan bir APT grubudur. Araştırmacılar bu grubun izini 2016 ve 2017 yıllarında, grup farklı saldırı taktikleri kullanmaya başladığında kaybetmişti ancak şimdi Fox-IT, bu grubun izini tekrardan buldu.

Fox-IT, son iki yılda APT20'nin ne çeşit saldırı yöntemleri kullandığını ve hangi hedeflere yöneldiğini tespit ettiklerini söyledi.

Fox-IT'nin raporuna göre grubun hedefleri dünya çapında bazı ülkelere (10 ülke) ait devlet kurumları, enerji, sağlık ve yüksek teknoloji gibi alanlarda faaliyet gösteren kuruluşlardan oluşuyor.

Araştırmalara göre hackerlar, şirketlerin ağlarına sızmak için ilk olarak web sunucularda kullanılan JBoss'tan yararlanıyordu. Hackerların ağa sızdıktan sonraki hedefi ise ağda yetkili olan kullanıcıların bilgilerini ve VPN kimlik bilgilerini ele geçirmek oluyordu.

Araştırmacıların keşfettiği bir diğer detay ise APT20'nin VPN hesaplarına erişmek için 2FA'i atlatabildikleriydi. Hackerların bunu nasıl yaptıkları belirsizliğini koruyor ancak araştırmacıların APT20'nin bunu nasıl yaptığına dair bir teorisi bulunuyor.

Fox-IT tarafından "Operasyon Wocao" adı verilen saldırı kampanyası APT gruplarının son derece tehlikeli olduğunu bir kez daha gözler önüne seriyor.

Kaynak: ZDNet