Olay müdahalesi firması Sygnia’nın yeni bir raporuna göre, Asya’da bulunan büyük bir telekomünikasyon şirketinin sistemlerinde dört yılı aşkın bir süredir geçiren Çin devlet destekli hackerlar tarafından ihlal edildiği iddia edildi.
Siber güvenlik şirketi, adının altındaki etkinliği izliyor Weaver karıncatehdit oyuncusunu gizli ve son derece kalıcı olarak tanımlamak. Telekom sağlayıcısının adı açıklanmadı.
Sygnia, “Web mermileri ve tünel kullanan saldırganlar kalıcılığı korudu ve siber casusluğu kolaylaştırdı.” Dedi. “Bu izinsiz girişin arkasındaki grup […] telekomünikasyon sağlayıcılarına sürekli erişim elde etmeyi ve sürdürmeyi ve hassas bilgi toplayarak siber casusluğu kolaylaştırmayı amaçladı. “
Saldırı zincirinin, iki farklı web kabuğunu, Çin helikopterinin şifreli bir varyantını ve Inmemory olarak adlandırılan daha önce belgelenmemiş kötü amaçlı bir araç bırakmak için halka açık bir uygulamanın sömürülmesini içerdiği söyleniyor. China Chopper’ın geçmişte birden fazla Çin hack grubu tarafından kullanıldığını belirtmek gerekir.
InMemory, adından da anlaşılacağı gibi, baz 64 kodlu bir dizeyi çözmek ve diske yazmadan tamamen bellekte yürütmek için tasarlanmıştır, böylece adli bir iz bırakmaz.
Sygnia, “‘InMemory’ web kabuğu, sonuçta bir HTTP isteği ile teslim edilen yükü çalıştıran ‘Değer.dll’ adlı taşınabilir bir yürütülebilir dosyada (PE) bulunan C# kodunu yürüttü.” Dedi.
Web mermilerinin, en dikkat çekici olanı, en dikkat çekici olanı, daha önce Elephant Beetle gibi diğer tehdit aktörleri tarafından benimsenen bir taktik olan SMB üzerinde yanal hareketi kolaylaştırmak için kullanılan özyinelemeli bir HTTP tünel aracı olarak hareket ettiği bulunmuştur.
Dahası, web kabuğu tünelinden geçen şifreli trafik, -dahil olmak üzere bir dizi sömürü sonrası eylem gerçekleştirmek için bir kanal görevi görür.
- Windows (ETW) ve Antimal Yazılım Tarama Arayüzü (AMSI) için yama olay izleme tespiti
- PowerShell.exe’yi başlatmadan PowerShell komutlarını yürütmek için System.management.Automation.dll kullanma ve
- Yüksek ayrı hesapları ve kritik sunucuları tanımlamak için uzlaşmış Active Directory ortamına karşı keşif komutlarının yürütülmesi
Sygnia, Weaver Ant’in, hedefleme kalıpları ve kampanyanın “iyi tanımlanmış” hedefleri nedeniyle tipik olarak Çin-Nexus siber casusluk grubuyla ilişkili ayırt edici özellikler sergilediğini söyledi.
Bu bağlantı, Çin kıyıcı web kabuğunun varlığı, zyxel yönlendiricilerin trafiğini vekalet eden ve altyapılarını gizleyen bir operasyonel röle kutusu (Orb) ağının kullanımı ile de kanıtlanmıştır.
Şirket, “Bu dönem boyunca Weaver Ant, TTP’lerini gelişen ağ ortamına uyarladı ve erişimi yeniden kazanmak ve dayanaklarını sürdürmek için yenilikçi yöntemler kullandı.” Dedi. “Çin-Nexus izinsiz giriş setlerinin modus operandi, tipik olarak ortak yükleniciler gibi araçların, altyapının ve bazen insan gücünün paylaşılmasını içerir.”
Çin, casusluk arkasında olduğu iddia edilen 4 Tayvanlı hacker’ı tanımlıyor
Açıklama, Çin’in Devlet Güvenliği Bakanlığı’nın (MSS) dört kişiyi Tayvan’ın anakaraya karşı siber saldırılar yürütme ordusuyla bağlantılı olduğu iddia edilen dört kişiyi suçlamasından günler sonra geliyor. Tayvan iddiaları reddetti.
MSS, dört bireyin Tayvan’ın bilgi, iletişim ve elektronik güç komutanlığı (ICEFCOM) üyesi olduğunu ve işletmenin kimlik avı saldırılarına, hükümet ve askeri ajansları hedefleyen propaganda e -postaları ve sosyal medya takma adlarını kullanarak dezenformasyon kampanyalarına katıldığını söyledi.
İntülasyonların ayrıca Antsword Web Shell, Icescorpion, Metasploit ve Quasar Rat gibi açık kaynaklı araçların kapsamlı kullanımını da içerdiği iddia ediliyor.
“‘Bilgi, İletişim ve Elektronik Kuvvet Komutanlığı’, Demokratik İlerici Parti (DPP) yetkilileri tarafından verilen siber savaş direktiflerini yürütmek için hackerları ve siber güvenlik şirketlerini dış destek olarak işe aldı.” Dedi. “Faaliyetleri casusluk, sabotaj ve propaganda sayılabilir.”
MSS açıklamasına denk gelen Çin siber güvenlik firmaları Qianxin ve Antiey, bir C ++ trojan ve komuta fragmanı gibi kobal ve beyaz yosunlu bir Tayvanlı tehdit aktörü tarafından düzenlenen ayrıntılı mızrak aktı saldırılarına sahipti. ve şerit.
Diğer başlangıç erişim yöntemleri, yönlendiriciler, kameralar ve güvenlik duvarları gibi Nesnelerin İnterneti cihazlarındaki N-Day güvenlik açıklarının ve zayıf şifrelerin kullanılmasını gerektirir, Qianxin, tehdit oyuncunun faaliyetlerini “özellikle zeki” olarak nitelendiren ekledi.