Linux Shift: Το κινεζικό APT Alloy Taurus επιστρέφει με επαναλειτουργία

Μετά από μια σύντομη παύση, το Alloy Taurus APT (γνωστό και ως Gallium ή Operation Soft Cell) επιστρέφει στη σκηνή, με μια νέα παραλλαγή Linux του κακόβουλου λογισμικού PingPull.

Το κράμα Ταύρου είναι α Κινεζικός παράγοντας απειλών που συνδέεται με το έθνος-κράτος, περίπου από το 2012 τουλάχιστον, αλλά μόνο στο προσκήνιο από το 2019. Επικεντρώνεται στην κατασκοπεία και είναι περισσότερο γνωστό για τη στόχευση μεγάλων τηλεπικοινωνιακών παρόχων.

Σε μια ανάρτηση ιστολογίου τον περασμένο Ιούνιο, η Palo Alto Networks Η ενότητα 42 δημοσίευσε λεπτομέρειες για το πρωτότυπο, έκδοση του PingPull για Windows. Ήταν ένας Trojan απομακρυσμένης πρόσβασης (RAT) βασισμένος σε Visual C++, ο οποίος επέτρεπε στον κάτοχό του να εκτελεί εντολές και να έχει πρόσβαση σε ένα αντίστροφο κέλυφος σε έναν παραβιασμένο υπολογιστή στόχο.

Το Alloy Taurus γνώρισε μεγάλη επιτυχία το δεύτερο εξάμηνο του 2022, αλλά τώρα επέστρεψε πλήρως. «Έκαψαν την έκδοση των Windows του PingPull», εξηγεί ο Pete Renals, κύριος ερευνητής στη Μονάδα 42, «και ανέπτυξαν μια νέα δυνατότητα που δείχνει κάποιο βαθμό τεχνογνωσίας που αλλάζει σε μια διαφορετική παραλλαγή».

Η παραλλαγή Linux επικαλύπτεται σε μεγάλο βαθμό με τον πρόγονό της των Windows, επιτρέποντας στους εισβολείς να απαριθμούν, να διαβάζουν, να γράφουν, να αντιγράφουν, να μετονομάζουν και να διαγράφουν αρχεία, καθώς και να εκτελούν εντολές. Είναι ενδιαφέρον ότι το PingPull μοιράζεται επίσης ορισμένες λειτουργίες, παραμέτρους HTTP και χειριστές εντολών με το κέλυφος του China Chopper Web διαβόητα αναπτυχθεί σε τις επιθέσεις του 2021 κατά των διακομιστών Microsoft Exchange.

The Fall of Alloy Taurus

Το Alloy Taurus εμφανίστηκε στη σκηνή το 2018-2019, με τολμηρές εκστρατείες κατασκοπείας εναντίον μεγάλων παρόχων τηλεπικοινωνιών σε όλο τον κόσμο. Οπως και Εξήγησε η Cybereason στην πρωτοποριακή του ανάρτηση ιστολογίου τον Ιούνιο του 2019, «ο ηθοποιός της απειλής προσπαθούσε να κλέψει όλα τα δεδομένα που ήταν αποθηκευμένα στον ενεργό κατάλογο, θέτοντας σε κίνδυνο κάθε όνομα χρήστη και κωδικό πρόσβασης στον οργανισμό, μαζί με άλλες προσωπικές πληροφορίες, δεδομένα χρέωσης, αρχεία λεπτομερειών κλήσεων , διαπιστευτήρια, διακομιστές email, γεωγραφική τοποθεσία των χρηστών και πολλά άλλα."

Ακόμη και σε σύγκριση με άλλα κινεζικά κρατικά APTs, είναι «αρκετά ώριμο και αρκετά σοβαρό», εκτιμά η Renals. «Η δυνατότητα να μπείτε σε μια AT&T ή Verizon ή Deutsche Telekom, να χαλαρώσετε και να αλλάξετε τις παραμέτρους του δρομολογητή, απαιτεί έναν ορισμένο βαθμό τεχνογνωσίας. Αυτή δεν είναι η ομάδα των νεανικών πανεπιστημίων σας με κανέναν τρόπο, σχήμα ή μορφή.”

Αλλά το Alloy Taurus δεν ήταν άτρωτο, όπως ανακάλυψαν πρόσφατα οι ερευνητές.

Η ομάδα πετούσε ψηλά στα τέλη του 2021 και στις αρχές του 2022, χρησιμοποιώντας το PingPull Windows RAT σε πολλαπλές καμπάνιες, σημείωσε η Ενότητα 42 στην ανάρτηση ιστολογίου του Ιουνίου. Στοχεύει στις τηλεπικοινωνίες αλλά και σε στρατιωτικούς και κυβερνητικούς οργανισμούς, που βρίσκονται στο Αφγανιστάν, την Αυστραλία, το Βέλγιο, την Καμπότζη, τη Μαλαισία, τη Μοζαμβίκη, τις Φιλιππίνες, τη Ρωσία και το Βιετνάμ.

Στη συνέχεια, «μόνο τρεις έως πέντε ημέρες αφότου δημοσιεύσαμε τον Ιούνιο, τους παρακολουθήσαμε να εγκαταλείπουν όλες τις υποδομές τους που καλύπτονταν στην έκθεση», λέει ο Renals. «Άλλαξαν τα πάντα για να δείξουν μια συγκεκριμένη κυβέρνηση και τη Νοτιοανατολική Ασία – έτσι ώστε όλα τα εμφυτεύματα και όλα τα θύματα να κατευθυνθούν σε άλλη χώρα – και βασικά σκούπισαν τα χέρια τους από όλα αυτά».

The Return of Alloy Taurus

Το Alloy Taurus δεν είχε εξαφανιστεί εντελώς, αλλά σίγουρα είχε υποχωρήσει. «Ζούσαν από τη γη», εξηγεί ο Renals. «Ορισμένες από τις βασικές υποδομές ανάντη παρέμειναν ανοιχτές και λειτουργούσαν».

Η νίκη ήταν βραχύβια όταν, τον Δεκέμβριο, οι ερευνητές βρήκαν νέα σημάδια ζωής. Και τον Μάρτιο, κατέλαβαν ένα δείγμα Linux του παλιού κακόβουλου λογισμικού PingPull. "Δείχνει την ικανότητα ενός ώριμου APT να ανταποκρίνεται και να προσαρμόζεται πολύ γρήγορα", λέει ο Renals.

Το ότι τα APT μπορούν να επιστρέψουν τόσο αβίαστα σε νέες μορφές αποτελεί ένα αίνιγμα για τους υπερασπιστές του κυβερνοχώρου. Πώς προστατεύεται κανείς από μια ομάδα όπως η Alloy Taurus σήμερα, αν μπορεί απλά να επιστρέψει φορώντας νέο μακιγιάζ αύριο;

«Πιστεύω ότι οι μέρες παρακολούθησης συγκεκριμένων δεικτών συμβιβασμού (IoC) είναι σε μεγάλο βαθμό πίσω μας», λέει ο Renals. «Τώρα έχει να κάνει περισσότερο με την παρακολούθηση των τεχνικών και των τακτικών και την κατοχή των αναλυτικών στοιχείων συμπεριφοράς για τον εντοπισμό αυτού του είδους δραστηριότητας. Εκεί μετατοπίζουμε το τελικό σημείο, εκεί μετατοπίζουμε και την ασφάλεια δικτύου».

Η ανακάλυψη του νέου PingPull, πιστεύει, είναι μια ενδεικτική περίπτωση για αυτόν τον καλύτερο τρόπο αξιοποίησης εξελιγμένων APT. «Με την παραλλαγή του Linux, αρχικά μπορεί να το είχαμε χαρακτηρίσει ως καλοήθη. Και μετά το κοιτάξαμε και είπαμε: 'Γεια, περίμενε ένα λεπτό. Αυτό έχει πολύ παρόμοια χαρακτηριστικά με κάτι άλλο που είναι κακόβουλο. Ας βάλουμε έναν άνθρωπο να το δει αυτό». Επομένως, η κατοχή αυτής της ικανότητας είναι απαραίτητη».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoAiStream. Web3 Data Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• Minting the Future με την Adryenn Ashley. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/endpoint/linux-chinese-apt-alloy-taurus-back-retooling