Μετά από μια σύντομη παύση, το Alloy Taurus APT (γνωστό και ως Gallium ή Operation Soft Cell) επιστρέφει στη σκηνή, με μια νέα παραλλαγή Linux του κακόβουλου λογισμικού PingPull.
Το κράμα Ταύρου είναι α Κινεζικός παράγοντας απειλών που συνδέεται με το έθνος-κράτος, περίπου από το 2012 τουλάχιστον, αλλά μόνο στο προσκήνιο από το 2019. Επικεντρώνεται στην κατασκοπεία και είναι περισσότερο γνωστό για τη στόχευση μεγάλων τηλεπικοινωνιακών παρόχων.
Σε μια ανάρτηση ιστολογίου τον περασμένο Ιούνιο, η Palo Alto Networks Η ενότητα 42 δημοσίευσε λεπτομέρειες για το πρωτότυπο, έκδοση του PingPull για Windows. Ήταν ένας Trojan απομακρυσμένης πρόσβασης (RAT) βασισμένος σε Visual C++, ο οποίος επέτρεπε στον κάτοχό του να εκτελεί εντολές και να έχει πρόσβαση σε ένα αντίστροφο κέλυφος σε έναν παραβιασμένο υπολογιστή στόχο.
Το Alloy Taurus γνώρισε μεγάλη επιτυχία το δεύτερο εξάμηνο του 2022, αλλά τώρα επέστρεψε πλήρως. «Έκαψαν την έκδοση των Windows του PingPull», εξηγεί ο Pete Renals, κύριος ερευνητής στη Μονάδα 42, «και ανέπτυξαν μια νέα δυνατότητα που δείχνει κάποιο βαθμό τεχνογνωσίας που αλλάζει σε μια διαφορετική παραλλαγή».
Η παραλλαγή Linux επικαλύπτεται σε μεγάλο βαθμό με τον πρόγονό της των Windows, επιτρέποντας στους εισβολείς να απαριθμούν, να διαβάζουν, να γράφουν, να αντιγράφουν, να μετονομάζουν και να διαγράφουν αρχεία, καθώς και να εκτελούν εντολές. Είναι ενδιαφέρον ότι το PingPull μοιράζεται επίσης ορισμένες λειτουργίες, παραμέτρους HTTP και χειριστές εντολών με το κέλυφος του China Chopper Web διαβόητα αναπτυχθεί σε τις επιθέσεις του 2021 κατά των διακομιστών Microsoft Exchange.
The Fall of Alloy Taurus
Το Alloy Taurus εμφανίστηκε στη σκηνή το 2018-2019, με τολμηρές εκστρατείες κατασκοπείας εναντίον μεγάλων παρόχων τηλεπικοινωνιών σε όλο τον κόσμο. Οπως και Εξήγησε η Cybereason στην πρωτοποριακή του ανάρτηση ιστολογίου τον Ιούνιο του 2019, «ο ηθοποιός της απειλής προσπαθούσε να κλέψει όλα τα δεδομένα που ήταν αποθηκευμένα στον ενεργό κατάλογο, θέτοντας σε κίνδυνο κάθε όνομα χρήστη και κωδικό πρόσβασης στον οργανισμό, μαζί με άλλες προσωπικές πληροφορίες, δεδομένα χρέωσης, αρχεία λεπτομερειών κλήσεων , διαπιστευτήρια, διακομιστές email, γεωγραφική τοποθεσία των χρηστών και πολλά άλλα."
Ακόμη και σε σύγκριση με άλλα κινεζικά κρατικά APTs, είναι «αρκετά ώριμο και αρκετά σοβαρό», εκτιμά η Renals. «Η δυνατότητα να μπείτε σε μια AT&T ή Verizon ή Deutsche Telekom, να χαλαρώσετε και να αλλάξετε τις παραμέτρους του δρομολογητή, απαιτεί έναν ορισμένο βαθμό τεχνογνωσίας. Αυτή δεν είναι η ομάδα των νεανικών πανεπιστημίων σας με κανέναν τρόπο, σχήμα ή μορφή.”
Αλλά το Alloy Taurus δεν ήταν άτρωτο, όπως ανακάλυψαν πρόσφατα οι ερευνητές.
Η ομάδα πετούσε ψηλά στα τέλη του 2021 και στις αρχές του 2022, χρησιμοποιώντας το PingPull Windows RAT σε πολλαπλές καμπάνιες, σημείωσε η Ενότητα 42 στην ανάρτηση ιστολογίου του Ιουνίου. Στοχεύει στις τηλεπικοινωνίες αλλά και σε στρατιωτικούς και κυβερνητικούς οργανισμούς, που βρίσκονται στο Αφγανιστάν, την Αυστραλία, το Βέλγιο, την Καμπότζη, τη Μαλαισία, τη Μοζαμβίκη, τις Φιλιππίνες, τη Ρωσία και το Βιετνάμ.
Στη συνέχεια, «μόνο τρεις έως πέντε ημέρες αφότου δημοσιεύσαμε τον Ιούνιο, τους παρακολουθήσαμε να εγκαταλείπουν όλες τις υποδομές τους που καλύπτονταν στην έκθεση», λέει ο Renals. «Άλλαξαν τα πάντα για να δείξουν μια συγκεκριμένη κυβέρνηση και τη Νοτιοανατολική Ασία – έτσι ώστε όλα τα εμφυτεύματα και όλα τα θύματα να κατευθυνθούν σε άλλη χώρα – και βασικά σκούπισαν τα χέρια τους από όλα αυτά».
The Return of Alloy Taurus
Το Alloy Taurus δεν είχε εξαφανιστεί εντελώς, αλλά σίγουρα είχε υποχωρήσει. «Ζούσαν από τη γη», εξηγεί ο Renals. «Ορισμένες από τις βασικές υποδομές ανάντη παρέμειναν ανοιχτές και λειτουργούσαν».
Η νίκη ήταν βραχύβια όταν, τον Δεκέμβριο, οι ερευνητές βρήκαν νέα σημάδια ζωής. Και τον Μάρτιο, κατέλαβαν ένα δείγμα Linux του παλιού κακόβουλου λογισμικού PingPull. "Δείχνει την ικανότητα ενός ώριμου APT να ανταποκρίνεται και να προσαρμόζεται πολύ γρήγορα", λέει ο Renals.
Το ότι τα APT μπορούν να επιστρέψουν τόσο αβίαστα σε νέες μορφές αποτελεί ένα αίνιγμα για τους υπερασπιστές του κυβερνοχώρου. Πώς προστατεύεται κανείς από μια ομάδα όπως η Alloy Taurus σήμερα, αν μπορεί απλά να επιστρέψει φορώντας νέο μακιγιάζ αύριο;
«Πιστεύω ότι οι μέρες παρακολούθησης συγκεκριμένων δεικτών συμβιβασμού (IoC) είναι σε μεγάλο βαθμό πίσω μας», λέει ο Renals. «Τώρα έχει να κάνει περισσότερο με την παρακολούθηση των τεχνικών και των τακτικών και την κατοχή των αναλυτικών στοιχείων συμπεριφοράς για τον εντοπισμό αυτού του είδους δραστηριότητας. Εκεί μετατοπίζουμε το τελικό σημείο, εκεί μετατοπίζουμε και την ασφάλεια δικτύου».
Η ανακάλυψη του νέου PingPull, πιστεύει, είναι μια ενδεικτική περίπτωση για αυτόν τον καλύτερο τρόπο αξιοποίησης εξελιγμένων APT. «Με την παραλλαγή του Linux, αρχικά μπορεί να το είχαμε χαρακτηρίσει ως καλοήθη. Και μετά το κοιτάξαμε και είπαμε: 'Γεια, περίμενε ένα λεπτό. Αυτό έχει πολύ παρόμοια χαρακτηριστικά με κάτι άλλο που είναι κακόβουλο. Ας βάλουμε έναν άνθρωπο να το δει αυτό». Επομένως, η κατοχή αυτής της ικανότητας είναι απαραίτητη».
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoAiStream. Web3 Data Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- Minting the Future με την Adryenn Ashley. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/endpoint/linux-chinese-apt-alloy-taurus-back-retooling
- :έχει
- :είναι
- :δεν
- :που
- $UP
- 2012
- 2019
- 2021
- 2022
- 7
- a
- ικανότητα
- Σχετικα
- πρόσβαση
- ενεργός
- δραστηριότητα
- ΑΦΓΑΝΙΣΤΑΝ
- Μετά το
- κατά
- aka
- Όλα
- Επιτρέποντας
- Κράμα
- κατά μήκος
- Επίσης
- an
- analytics
- και
- Άλλος
- κάθε
- APT
- ΕΙΝΑΙ
- γύρω
- AS
- Ασία
- At
- AT & T
- Επιθέσεις
- προσπάθεια
- Australia
- πίσω
- Βασικα
- πίσω
- Βέλγιο
- πιστεύει
- ΚΑΛΎΤΕΡΟΣ
- Καλύτερα
- χρέωσης
- Μπλοκ
- καίγονται
- αλλά
- κλήση
- Καμπότζη
- Καμπάνιες
- CAN
- περίπτωση
- ορισμένες
- σίγουρα
- αλλαγή
- χαρακτηριστικά
- Κίνα
- κινέζικο
- σύγκριση
- συμβιβασμός
- Συμβιβασμένος
- συμβιβασμός
- υπολογιστή
- πυρήνας
- χώρα
- καλύπτονται
- Διαπιστεύσεις
- στον κυβερνοχώρο
- ημερομηνία
- Ημ.
- Δεκέμβριος
- Υπερασπιστές
- Πτυχίο
- καταδεικνύει
- αναπτυχθεί
- λεπτομέρεια
- καθέκαστα
- DEUTSCHE TELECOM
- διαφορετικές
- ανακάλυψαν
- κάνει
- Νωρίς
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- ενεργοποιημένη
- Τελικό σημείο
- εξ ολοκλήρου
- κατασκοπεία
- ουσιώδης
- Κάθε
- πάντα
- ανταλλαγή
- εξειδίκευση
- Εξηγεί
- αρκετά
- Πτώση
- Αρχεία
- φέρουν
- εστιάζει
- Για
- μορφή
- μορφές
- λειτουργίες
- παίρνω
- Go
- Κυβέρνηση
- Group
- είχε
- Ήμισυ
- τα χέρια
- Έχω
- που έχει
- he
- Ψηλά
- Επιτυχία
- Πως
- http
- HTTPS
- ανθρώπινος
- i
- if
- in
- δείκτες
- πληροφορίες
- Υποδομή
- αρχικά
- σε
- IT
- ΤΟΥ
- jpg
- Ιούνιος
- Είδος
- γνωστός
- Οικόπεδο
- σε μεγάλο βαθμό
- Επίθετο
- Αργά
- ας
- ζωή
- Μου αρέσει
- linux
- Λιστα
- ζουν
- που βρίσκεται
- ματιά
- κοίταξε
- Χαμηλός
- μεγάλες
- μακιγιάζ
- Malaysia
- malware
- Μάρτιος
- ώριμος
- Ενδέχεται..
- Microsoft
- Στρατιωτικός
- λεπτό
- περισσότερο
- Μοζαμβίκη
- πολλαπλούς
- δίκτυο
- Ασφάλεια Δικτύων
- δίκτυα
- Νέα
- Σημειώνεται
- τώρα
- of
- off
- Παλιά
- on
- ONE
- αποκλειστικά
- ανοίξτε
- λειτουργία
- or
- επιχειρήσεις
- οργανώσεις
- ΑΛΛΑ
- έξω
- Palo Alto
- παράμετροι
- Κωδικός Πρόσβασης
- Προσωπικά
- Philippines
- εκλεκτός
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Σημείο
- Θέση
- δώρα
- Κύριος
- προστασία
- Παρόχους υπηρεσιών
- δημοσιεύθηκε
- γρήγορα
- ΑΡΟΥΡΑΙΟΣ
- RE
- Διάβασε
- πρόσφατα
- αρχεία
- παρέμεινε
- μακρινός
- απομακρυσμένη πρόσβαση
- αναφέρουν
- Απαιτεί
- ερευνητής
- ερευνητές
- Απάντηση
- απόδοση
- αντιστρέψει
- router
- τρέξιμο
- τρέξιμο
- Russia
- s
- Είπε
- λέει
- σκηνή
- Δεύτερος
- ασφάλεια
- σοβαρός
- Διακομιστές
- Shape
- Μερίδια
- κέλυφος
- αλλαγή
- ΜΕΤΑΤΟΠΙΣΗ
- Δείχνει
- Σημάδια
- παρόμοιες
- απλά
- αφού
- ενιαίας
- So
- Μαλακός
- μερικοί
- κάτι
- εξελιγμένα
- Νοτιοανατολική Ασία
- συγκεκριμένες
- Προβολέας θέατρου
- περιστρέφεται
- αποθηκεύονται
- τακτική
- στόχος
- στοχευμένες
- στόχευση
- Ταύρος
- τεχνικές
- τηλεπικοινωνιών
- τηλεπικοινωνιών
- ότι
- Η
- Οι Φιλιππίνες
- ο κόσμος
- τους
- Τους
- τότε
- αυτοί
- νομίζω
- αυτό
- απειλή
- τρία
- προς την
- σήμερα
- αύριο
- Παρακολούθηση
- Trojan
- μονάδα
- us
- Χρήστες
- αξιοποιώντας
- Παραλλαγή
- Ve
- Verizon
- εκδοχή
- πολύ
- θύματα
- νίκη
- Vietnam
- περιμένετε
- ήταν
- Παρακολούθησα
- Τρόπος..
- we
- ιστός
- ΛΟΙΠΌΝ
- ήταν
- πότε
- Ποιό
- παράθυρα
- με
- κόσμος
- γράφω
- Σας
- zephyrnet