Siber güvenlik şirketi ESET, Çin ilişkili yeni bir Gelişmiş Kalıcı Tehdit (APT) Kümesi keşfetti. LongNosedGoblin ismi verilen kümenin Güneydoğu Asya ve Japonya’da siber casusluk araçları kullandığı ve devlet kurumlarını amaç aldığı paylaşıldı.
ESET Research, Windows makinelerindeki ayarları ve müsaadeleri yönetmek için ekseriyetle Active Directory ile birlikte kullanılan bir sistem olan Küme Unsurunu berbata kullanarak makûs hedefli yazılımları dağıtmak ve akına uğramış ağda yatay olarak hareket etmek için yeni bir Çin kontaklı APT kümesi olan LongNosedGoblin’i keşfetti. Küme, Güneydoğu Asya ve Japonya’daki devlet kurumlarının ağlarına siber casusluk araçları dağıtmak için kullanılıyor.
2024 yılında, ESET araştırmacıları Güneydoğu Asya’daki bir devlet kurumunun ağında daha evvel belgelenmemiş bir makûs emelli yazılım fark etti. Kümenin Eylül 2023’ten beri etkin durumda olduğu düşünülüyor. ESET, Eylül 2025 prestijiyle kümenin bölgedeki faaliyetlerinin tekrar başladığını gözlemlemeye başladı. Küme, ele geçirilen ağda ve Komuta ve Denetim (C&C) için bulut hizmetlerinde (ör. Microsoft OneDrive ve Google Drive) berbat emelli yazılım yayıyor.
LongNosedGoblin’in cephaneliğinde birkaç araç bulunuyor. NosyHistorian, kümenin Google Chrome, Microsoft Edge ve Mozilla Firefox’tan tarayıcı geçmişini toplamak için kullandığı bir C#/.NET uygulaması. Bu bilgiler, öbür berbat hedefli yazılımların nereye yerleştirileceğini belirlemek için kullanılıyor. NosyDoor, makine ismi, kullanıcı ismi, işletim sistemi sürümü ve mevcut sürecin ismi dâhil olmak üzere kurbanın makinesiyle ilgili meta bilgileri toplar ve tümünü C&C’ye gönderir. Akabinde C&C’den komutlar içeren misyon evraklarını alır ve ayrıştırır. Komutlar, evrakları sızdırmasına, belgeleri silmesine ve kabuk komutlarını yürütmesine imkan tanır.
NosyStealer, Microsoft Edge ve Google Chrome’dan tarayıcı bilgilerini çalmak için kullanılır. NosyDownloader, bir dizi gizlenmiş komutu yürütür ve belleğe bir yük indirip çalıştırır. LongNosedGoblin tarafından kullanılan öteki araçların yanı sıra ESET, açık kaynaklı keylogger DuckSharp’ın değiştirilmiş bir versiyonu üzere görünen C#/.NET keylogger NosyLogger’ı da tespit etti. Küme tarafından kullanılan öbür araçlar ortasında aksi SOCKS5 proxy ve ses ve görüntü yakalamak için muhtemelen FFmpeg üzere bir görüntü kaydedici çalıştırmak için kullanılan bir argüman çalıştırıcı (argüman olarak geçirilen bir uygulamayı çalıştıran bir araç) bulunmaktadır.
LongNosedGoblin’i Peter Strýček ile birlikte araştıran ESET araştırmacısı Anton Cherepanov “Farklı teknikler kullanarak ve Yandex Disk bulut hizmetini C&C sunucusu olarak kullanan, bir AB ülkesindeki bir kuruluşu maksat alan öteki bir NosyDoor varyantı örneği de tespit ettik. Bu NosyDoor varyantının kullanılması, makus hedefli yazılımın Çin ile irtibatlı birden fazla tehdit kümesi ortasında paylaşılabileceğini gösteriyor” açıklamasını yaptı.
Kaynak: (BYZHA) Beyaz Haber Ajansı