Çin’in Tibet ve Doğu Türkistan’da uyguladığı zulüm ve baskılardan hepimizin bir ölçüde haberi var. Son yıllarda özellikle Tibet’le bağlantılı kuruluşlar / aktivistler, bu zulmü ve baskıyı uluslararası platformlarda çeşitli organizasyonlar , protestolar ile dünyaya duyurmak için oldukça çaba sarfediyor. Tibet, son olarak G20 zirvesinde sesini bütün dünya liderlerine duyurmak ve dikkat çekmek için UniteforTibet kampanyası ve protestoları başlattı.

Çin, Tibet’in uluslararası platformlardaki bu hareketlerinden oldukça rahatsız. Özellikle yurt dışındaki Tibetli aktivistlerin ve organizasyonların faaliyetlerini izlemek için yıllardır siber saldırı yöntemlerine başvuruyor. Daha önce bildiğiniz üzere Çin, Doğu Türkistanlı aktivistleri de “Turkey Visa Form” isimli Adobe Reader Zero-day exploiti ile hedef almıştı. Çin, geçtiğimiz hafta G20 / UniteforTibet protestolarını düzenleyen Tibetli aktivistleri ise CVE-2012-0158 exploitiyle hedef aldı.

Çeşitli Tibetli kuruluşlara ve aktivistlere aşağıdaki spear-phishing emailinin gönderildiği tespit edildi. Email, UniteforTibet protestolarına destek çağrısı kılıfıyla kurbanı bir  Office dökümanını indirmeye ve çalıştırmaya yönlendiriyor;

Office Word Exploit – MD5: 2e9613daf0685d36ff77aa05db665912

Office exploiti , sisteme  RasTls isimli bir zararlı yazılım drop ediyor. Bu zararlı yazılım, daha önce Çin devletinin desteklediği bir çok hedef odaklı saldırıda kullanılan Gh0st RAT  zararlı yazılımı.

Dropped Gh0st RAT – MD5: 2b9b41b731a117576008bcc2883de643

Zararlı Yazılımın Haberleştiği C&C Sunucuları:

IP Address: 210.209.118.87:8080