Siber güvenlik şirketi ESET, Çin bağlantılı yeni bir Gelişmiş Kalıcı Tehdit (APT)
Grubu keşfetti. LongNosedGoblin adı verilen grubun Güneydoğu Asya ve Japonya'da
siber casusluk araçları kullandığı ve devlet kurumlarını hedef aldığı paylaşıldı.

ESET Research, Windows makinelerindeki ayarları ve izinleri yönetmek için genellikle
Active Directory ile birlikte kullanılan bir mekanizma olan Grup İlkesini
kötüye kullanarak kötü amaçlı yazılımları dağıtmak ve saldırıya uğramış ağda yatay
olarak hareket etmek için yeni bir Çin bağlantılı APT grubu olan LongNosedGoblin'i
keşfetti. Grup, Güneydoğu Asya ve Japonya'daki devlet kurumlarının ağlarına
siber casusluk araçları dağıtmak için kullanılıyor.

2024 yılında, ESET araştırmacıları Güneydoğu Asya'daki bir devlet kurumunun ağında
daha önce belgelenmemiş bir kötü amaçlı yazılım fark etti. Grubun Eylül 2023'ten
beri aktif durumda olduğu düşünülüyor. ESET, Eylül 2025 itibarıyla grubun
bölgedeki faaliyetlerinin yeniden başladığını gözlemlemeye başladı. Grup, ele geçirilen
ağda ve Komuta ve Kontrol (C&C) için bulut hizmetlerinde (ör. Microsoft
OneDrive ve Google Drive) kötü amaçlı yazılım yayıyor.

LongNosedGoblin'in cephaneliğinde birkaç araç bulunuyor. NosyHistorian, grubun Google
Chrome, Microsoft Edge ve Mozilla Firefox'tan tarayıcı geçmişini toplamak
için kullandığı bir C#/.NET uygulaması. Bu bilgiler, başka kötü amaçlı yazılımların
nereye yerleştirileceğini belirlemek için kullanılıyor. NosyDoor, makine
adı, kullanıcı adı, işletim sistemi sürümü ve mevcut işlemin adı dâhil olmak üzere
kurbanın makinesiyle ilgili meta verileri toplar ve tümünü C&C'ye gönderir.
Ardından C&C'den komutlar içeren görev dosyalarını alır ve ayrıştırır. Komutlar,
dosyaları sızdırmasına, dosyaları silmesine ve kabuk komutlarını yürütmesine
olanak tanır.

NosyStealer, Microsoft Edge ve Google Chrome'dan tarayıcı verilerini çalmak için
kullanılır. NosyDownloader, bir dizi gizlenmiş komutu yürütür ve belleğe bir yük
indirip çalıştırır. LongNosedGoblin tarafından kullanılan diğer araçların yanı
sıra ESET, açık kaynaklı keylogger DuckSharp'ın değiştirilmiş bir versiyonu
gibi görünen C#/.NET keylogger NosyLogger'ı da tespit etti. Grup tarafından kullanılan
diğer araçlar arasında ters SOCKS5 proxy ve ses ve video yakalamak için
muhtemelen FFmpeg gibi bir video kaydedici çalıştırmak için kullanılan bir argüman
çalıştırıcı (argüman olarak geçirilen bir uygulamayı çalıştıran bir araç)
bulunmaktadır.

LongNosedGoblin'i Peter Str??ek ile birlikte araştıran ESET araştırmacısı Anton
Cherepanov Farklı teknikler kullanarak ve Yandex Disk bulut hizmetini C&C sunucusu
olarak kullanan, bir AB ülkesindeki bir kuruluşu hedef alan başka bir NosyDoor
varyantı örneği de tespit ettik. Bu NosyDoor varyantının kullanılması, kötü
amaçlı yazılımın Çin ile bağlantılı birden fazla tehdit grubu arasında paylaşılabileceğini
gösteriyor açıklamasını yaptı.


-iDeal Haber Merkezi-
- twitter.com/iDealDataHaber // www.idealdata.com.tr -