Linux Shift: Die chinesische APT Alloy Taurus ist mit einem Retooling zurück

Nach einer kurzen Pause ist Alloy Taurus APT (auch bekannt als Gallium oder Operation Soft Cell) mit einer neuen Linux-Variante seiner PingPull-Malware wieder auf der Bildfläche.

Legierung Stier ist ein Mit dem chinesischen Nationalstaat verbundener Bedrohungsakteur, die es mindestens seit 2012 gibt, aber erst seit 2019 im Rampenlicht steht. Sie konzentriert sich auf Spionage und ist vor allem dafür bekannt, große Telekommunikationsanbieter ins Visier zu nehmen.

In einem Blog-Beitrag vom vergangenen Juni hat Palo Alto Networks Unit 42 veröffentlichte Details zum Original, Windows-Version von PingPull. Es war ein Visual C++-basierter Fernzugriffstrojaner (RAT), der es seinem Besitzer ermöglichte, Befehle auszuführen und auf eine Reverse-Shell auf einem kompromittierten Zielcomputer zuzugreifen.

Alloy Taurus erlitt in der zweiten Hälfte des Jahres 2022 einen Schlag, aber jetzt ist es wieder voll da. „Sie haben die Windows-Version von PingPull verbrannt“, erklärt Pete Renals, leitender Forscher bei Unit 42, „und sie haben eine neue Funktion entwickelt, die ein gewisses Maß an Erfahrung beim Wechsel zu einer anderen Variante demonstriert.“

Die Linux-Variante überschneidet sich weitgehend mit ihrem Windows-Vorfahren und ermöglicht es den Angreifern, Dateien aufzulisten, zu lesen, zu schreiben, zu kopieren, umzubenennen und zu löschen sowie Befehle auszuführen. Interessanterweise teilt PingPull auch einige Funktionen, HTTP-Parameter und Befehlshandler mit die China Chopper Web-Shell berüchtigt eingesetzt in die Angriffe von 2021 auf Microsoft Exchange Server.

Der Fall des Legierungs-Stiers

Alloy Taurus trat 2018–2019 mit kühnen Spionagekampagnen gegen große Telekommunikationsanbieter auf der ganzen Welt in Erscheinung. Als Cybereason erklärt In seinem damals brandaktuellen Blogbeitrag im Juni 2019 „versuchte der Angreifer, alle im Active Directory gespeicherten Daten zu stehlen, und gefährdete jeden einzelnen Benutzernamen und jedes Passwort in der Organisation, zusammen mit anderen persönlich identifizierbaren Informationen, Abrechnungsdaten und Anrufdetails , Anmeldeinformationen, E-Mail-Server, Geolokalisierung von Benutzern und mehr.“

Selbst im Vergleich zu anderen chinesischen APTs auf staatlicher Ebene ist es „ziemlich ausgereift und ziemlich seriös“, schätzt Renals ein. „Die Möglichkeit, bei AT&T, Verizon oder der Deutschen Telekom einzusteigen, sich zu verstecken und Router-Konfigurationen zu ändern, erfordert ein gewisses Maß an Fachwissen. Das ist in keiner Weise, Form oder Form dein Junior-Uni-Team.“

Aber Alloy Taurus war nicht unverwundbar, wie Forscher kürzlich entdeckten.

Die Gruppe flog Ende 2021 und Anfang 2022 hoch hinaus und nutzte ihre PingPull Windows RAT in mehreren Kampagnen, stellte Unit 42 in ihrem Juni-Blogbeitrag fest. Es richtete sich gegen Telekommunikationsunternehmen, aber auch Militär- und Regierungsorganisationen in Afghanistan, Australien, Belgien, Kambodscha, Malaysia, Mosambik, den Philippinen, Russland und Vietnam.

Dann, „nur drei bis fünf Tage nach unserer Veröffentlichung im Juni, sahen wir zu, wie sie ihre gesamte Infrastruktur, die im Bericht behandelt wurde, aufgegeben haben“, sagt Renals. „Sie haben alles geändert, um auf eine bestimmte Regierung und Südostasien hinzuweisen – so dass alle Beacon-Implantate und alle Opfer in ein anderes Land umgeleitet wurden – und sie haben sich im Grunde genommen von allem die Hände abgewischt.“

Die Rückkehr des Legierungsstiers

Alloy Taurus war nicht ganz verschwunden, aber es hatte sich auf jeden Fall zurückgezogen. „Sie lebten vom Land“, erklärt Renals. „Ein Teil der Kern-Upstream-Infrastruktur blieb offen und in Betrieb.“

Der Sieg war nur von kurzer Dauer, als Forscher im Dezember neue Lebenszeichen entdeckten. Und im März erbeuteten sie ein Linux-Sample der alten PingPull-Malware. „Es zeigt die Fähigkeit eines ausgereiften APT, sehr schnell zu reagieren und sich anzupassen“, sagt Renals.

Dass APTs so mühelos in neuen Formen zurückkehren können, stellt Cyberverteidiger vor ein Rätsel. Wie schützt man sich heute vor einer Gruppe wie Alloy Taurus, wenn sie morgen einfach mit neuem Make-up zurückkehren kann?

„Ich denke, die Zeiten, in denen spezifische Indikatoren für Kompromisse (IoCs) verfolgt wurden, liegen weitgehend hinter uns“, sagt Renals. „Jetzt geht es mehr darum, die Techniken und Taktiken zu verfolgen und über die Verhaltensanalysen zu verfügen, um diese Art von Aktivität zu erkennen. Dorthin verlagern wir den Endpunkt, dorthin verlagern wir auch die Netzwerksicherheit.“

Die Entdeckung des neuen PingPull ist seiner Meinung nach ein typisches Beispiel für diese bessere Art, anspruchsvolle APTs zu entdecken. „Bei der Linux-Variante haben wir es zunächst möglicherweise als harmlos eingestuft. Und dann haben wir es angeschaut und gesagt: ‚Hey, warte mal. Dies hat sehr ähnliche Eigenschaften wie etwas anderes, das bösartig ist. Lassen Sie uns das mal von einem Menschen anschauen.' Daher ist es unerlässlich, diese Fähigkeit zu haben.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
• Die Zukunft prägen mit Adryenn Ashley. Hier zugreifen.
• Quelle: https://www.darkreading.com/endpoint/linux-chinese-apt-alloy-taurus-back-retooling