DOLAR

42,4507$% 0.03

EURO

49,2739% -0.07

GRAM ALTIN

5.746,85%-0,58

ÇEYREK ALTIN

9.463,00%-0,38

ONS

4.195,32%-0,98

BİST100

11.123,47%0,06

BİTCOİN

3822806฿%4.93899

a
Anasayfa / Genel / Çinli tehdit kümesi yazılım güncellemelerini düzmece sunuculara yönlendiriyor
  • Objektif Media
  • Genel
  • Çinli tehdit kümesi yazılım güncellemelerini düzmece sunuculara yönlendiriyor
Güncellenme - Kasım 24, 2025 11:20
Yayınlanma - Kasım 24, 2025 11:20

Çinli tehdit kümesi yazılım güncellemelerini düzmece sunuculara yönlendiriyor

Çinli tehdit kümesi yazılım güncellemelerini düzmece sunuculara yönlendiriyor
0

BEĞENDİM

ABONE OL
0

Siber güvenlik çözümlerinde dünya lideri olan ESET, Çin ile ilişkili tehdit kümesi PlushDaemon’un, ESET’in EdgeStepper ismini verdiği, daha evvel belgelenmemiş bir ağ aygıtı implantını kullanarak ortadaki adam hücumları gerçekleştirdiğini keşfetti. 

İmplant, tüm DNS sorgularını, güncellemeleri ele geçiren öteki bir düğümün adresiyle karşılık veren makûs emelli bir harici DNS sunucusuna yönlendiriyor. Yazılım güncelleme trafiğini, amaç makinelere LittleDaemon ve DaemonicLogistics indiricilerini dağıtmak ve nihayetinde SlowStepper implantını yaymak emeliyle saldırganların denetimindeki altyapıya tesirli bir halde yine yönlendiriyor. SlowStepper, siber casusluk için kullanılan düzinelerce bileşene sahip bir art kapı araç setidir. Bu implantlar, PlushDaemon’a dünyanın rastgele bir yerindeki amaçları tehlikeye atma yeteneği kazandırıyor.

Çin ile irtibatlı bu küme 2019’dan bu yana Amerika Birleşik Devletleri, Yeni Zelanda, Kamboçya, Hong Kong, Tayvan ve Çin’de hücumlar düzenliyor. Kurbanları ortasında Pekin’deki bir üniversite, elektronik eserler üreten bir Tayvanlı şirket, otomotiv bölümünde faaliyet gösteren bir şirket ve imalat bölümünde faaliyet gösteren bir Japon şirketinin şubesi bulunuyor. 

Saldırıyı ortaya çıkaran ve tahlil eden ESET araştırmacısı Facundo Muñoz şu açıklamayı yaptı:” Keşfedilen hücum senaryosunda, PlushDaemon evvel gayelerinin bağlanabileceği bir ağ aygıtını ele geçiriyor; bu ele geçirme muhtemelen aygıtta çalışan yazılımdaki bir güvenlik açığını yahut zayıf yahut yeterli bilinen varsayılan yönetici kimlik bilgilerini kullanarak gerçekleştiriliyor ve saldırganların EdgeStepper’ı (ve muhtemelen öteki araçları) kullanmasına imkan tanıyor. Akabinde, EdgeStepper DNS sorgularını, DNS sorgu iletisindeki tesir alanının yazılım güncellemeleriyle ilgili olup olmadığını doğrulayan makus emelli bir DNS düğümüne yönlendirmeye başlar ve şayet öyleyse kaçırma düğümünün IP adresiyle karşılık verir. Alternatif olarak, kimi sunucuların hem DNS düğümü hem de ele geçirme düğümü olduğunu da gözlemledik; bu durumlarda, DNS düğümü DNS sorgularına kendi IP adresiyle cevap verir.  Birkaç tanınan Çin yazılım eserinin güncellemeleri, EdgeStepper aracılığıyla PlushDaemon tarafından ele geçirildi. 

PlushDaemon, en az 2018 yılından beri etkin olan ve Doğu Asya-Pasifik ve Amerika Birleşik Devletleri’ndeki birey ve kuruluşlara karşı casusluk faaliyetlerinde bulunan, Çin ile kontaklı bir tehdit aktörüdür. ESET’in SlowStepper olarak izlediği özel bir art kapı kullanır. Geçmişte, ESET Research bu kümenin web sunucularındaki güvenlik açıkları yoluyla erişim sağladığını gözlemlemişti.  Grup 2023 yılında bir tedarik zinciri saldırısı gerçekleştirmişti.

 

Kaynak: (BYZHA) Beyaz Haber Ajansı

0 0 0 0 0 0
YORUMLAR

s
En az 10 karakter gerekli
SİZİN İÇİN SEÇTİKLERİMİZ

HIZLI YORUM YAP

0 0 0 0 0 0