Çin bağlantılı yeni tehdit grubu: Bulut hizmetlerini casusluk için kullanıyorlar

Siber güvenlik kuruluşu ESET, Çin bağlantılı olduğu değerlendirilen "LongNosedGoblin" adlı yeni bir siber casusluk grubunu tespit ettiğini duyurdu.

Yapılan teknik incelemelere göre grup, Eylül 2023’ten bu yana aktif olarak Güneydoğu Asya ve Japonya’daki devlet kurumlarını hedef alıyor.ESET Research tarafından paylaşılan verilere göre LongNosedGoblin, ağ içindeki bilgisayarların ayarlarını yöneten "Grup İlkesi" mekanizmasını suistimal ederek sistemlerde yatay olarak ilerliyor. 2024 yılında ilk kez fark edilen grubun, saldırıya uğramış ağlarda ve komuta kontrol merkezi olarak Microsoft OneDrive, Google Drive ve Yandex Disk gibi yaygın bulut hizmetlerini kullandığı saptandı.Geniş bir siber saldırı cephaneliğiGrubun operasyonlarında kullandığı araçlar, kullanıcı bilgilerini ve cihaz verilerini toplamaya odaklanıyor. "NosyHistorian" ile tarayıcı geçmişlerini çeken saldırganlar, "NosyDoor" aracılığıyla kurbanın bilgisayarından meta veriler topluyor, dosya sızdırıyor veya sistem üzerinde uzaktan komut çalıştırabiliyor.

Ayrıca tarayıcı verilerini çalan "NosyStealer", belleğe zararlı yük indiren "NosyDownloader" ve klavye hareketlerini kaydeden "NosyLogger" gibi özelleştirilmiş yazılımlar da grubun envanterinde yer alıyor.ESET araştırmacısı Anton Cherepanov, tespit edilen yazılımların farklı varyantlarının bir Avrupa Birliği ülkesindeki kuruluşu hedef aldığını da belirtti.

Cherepanov, bu durumun söz konusu kötü amaçlı yazılımların Çin bağlantılı birden fazla tehdit grubu arasında paylaşıldığına dair bir işaret olabileceğini vurguladı.