Murky Panda: Bulut Ortamlarında Güvenilir İlişkilerin Kötüye Kullanımı
Murky Panda, bulut altyapılarındaki güvenilir bağlantıları istismar ederek kurumsal ağlara sızma amacı güden gelişmiş bir tehdit aktörüdür. CrowdStrike tarafından yayımlanan rapora göre, grup N-gün ve sıfır-gün açıklarını hızla silah haline getirme yeteneğiyle öne çıkmakta ve genellikle internet bağlantılı cihazları kullanarak ilk erişimi sağlamaktadır. 2021’de Microsoft Exchange Server açıklarını sıfır-gün istismarıyla kullanan Murky Panda, özellikle Kuzey Amerika’daki hükümet, teknoloji ve profesyonel hizmetler sektörlerini hedef almaktadır.
Mart 2024’te Microsoft, grubun BT tedarik zincirine yönelik taktik değişikliğini duyurdu. Murky Panda, Citrix NetScaler ADC ve Commvault gibi sistemlerdeki kritik güvenlik açıklarını (CVE-2023-3519, CVE-2025-3928) kullanarak ilk erişimi elde etmekte, ardından neo-reGeorg web shell’leriyle kalıcılık sağlamaktadır. CloudedHope adlı 64-bit ELF ve Golang ile yazılmış kötü amaçlı yazılımı kullanarak uzaktan erişim sağlamakta ve analiz karşıtı tekniklerle operasyonel güvenliği artırmaktadır.
Özellikle SaaS sağlayıcılarının bulut ortamlarındaki güvenilir ilişkileri hedef alarak yan hareketlerle ilerleyen Murky Panda, 2024 sonlarında Kuzey Amerika’da bir tedarikçinin yönetici erişimini ele geçirerek hedef kuruluşun Entra ID kiracısına arka kapı eklemiştir. Bu yöntemle Active Directory yönetimi ve e-posta erişimi sağlanmaktadır.
Genesis Panda: Bulut Hizmetlerinde Kalıcılık ve Keşif
Genesis Panda, Ocak 2024’ten beri finans, medya, telekomünikasyon ve teknoloji sektörlerinde faaliyet gösteren başka bir Çin bağlantılı tehdit grubudur. Bulut hizmet sağlayıcı hesaplarını hedefleyerek erişimi genişletmekte ve kalıcı yedekleme mekanizmaları kurmaktadır. Grup, web tabanlı güvenlik açıklarını istismar etmekte ve sınırlı veri sızdırarak ilk erişim aracısı rolü üstlenmektedir.
CrowdStrike’a göre, Genesis Panda bulut kontrol düzlemini yan hareket, kalıcılık ve keşif için kullanmakta, Instance Metadata Service (IMDS) sorgulamalarıyla kimlik bilgileri toplamaktadır. Ele geçirilen sanal makinelerden elde edilen kimlik bilgileriyle bulut ortamında derinlemesine hareket etmektedir. Bu durum, Çinli hackerların bulut ortamlarında sürdürülebilir erişim ve gizlilik odaklı gelişmiş yetenekler kazandığını göstermektedir.
Glacial Panda: Telekomünikasyon Sektöründe Artan Saldırılar
Telekomünikasyon sektörü, devlet destekli saldırılarda %130 artış yaşarken, Glacial Panda adlı Çinli grup bu alanda öne çıkmaktadır. Grup, Afganistan, Hong Kong, Hindistan, Japonya, Kenya, Malezya, Meksika, Panama, Filipinler, Tayvan, Tayland ve ABD’de faaliyet göstermektedir. Saldırılar genellikle Linux tabanlı eski telekom teknolojilerini ve zayıf parola veya bilinen güvenlik açıklarını hedef almaktadır.
Glacial Panda, CVE-2016-5195 (Dirty COW) ve CVE-2021-4034 (PwnKit) gibi ayrıcalık yükseltme açıklarını kullanmakta, Living off the Land (LotL) teknikleriyle kullanıcı kimlik doğrulama oturumlarını ve kimlik bilgilerini toplamaktadır. Ayrıca ShieldSlide adlı trojanlanmış OpenSSH bileşenleri dağıtarak arka kapı erişimi sağlamaktadır. Bu trojan, sabit kodlanmış parola ile root dahil herhangi bir hesabı doğrulayabilmektedir.
Bu gelişmeler, Çinli hacker gruplarının bulut ve telekom sektörlerinde istihbarat toplama ve kalıcı erişim sağlama konusundaki artan yetkinliklerini ortaya koymaktadır.