Billbug APT مستقر در چین به مرجع گواهی اطلاعات پلاتوبلاک چین نفوذ می کند. جستجوی عمودی Ai.

Billbug APT مستقر در چین به مرجع صدور گواهینامه نفوذ می کند

تمبر زمان: 16 نوامبر 2022، 6:00 بعد از ظهر

محققان هشدار می‌دهند که گروه حمله سایبری تحت حمایت دولت که به نام Billbug شناخته می‌شود، توانست به عنوان بخشی از یک کمپین جاسوسی گسترده که تا ماه مارس ادامه داشت، یک مرجع صدور گواهی دیجیتال (CA) را به خطر بیاندازد - توسعه نگران کننده در کتاب بازی تهدید مداوم پیشرفته (APT).

گواهی‌های دیجیتال فایل‌هایی هستند که برای امضای نرم‌افزار معتبر و تأیید هویت یک دستگاه یا کاربر برای فعال کردن اتصالات رمزگذاری‌شده استفاده می‌شوند. به این ترتیب، مصالحه با CA می تواند منجر به لشکر حملات بعدی مخفیانه شود.

هدف قرار دادن یک مرجع گواهی قابل توجه است، زیرا اگر مهاجمان می توانستند با موفقیت آن را برای دسترسی به گواهی ها به خطر بیاندازند، به طور بالقوه می توانند از آنها برای امضای بدافزار با یک گواهی معتبر استفاده کنند و به آن کمک کنند تا از شناسایی در ماشین های قربانی جلوگیری کند. گزارش این هفته از سیمانتک. همچنین می‌تواند از گواهی‌های در معرض خطر برای رهگیری ترافیک HTTPS استفاده کند.»

محققان خاطرنشان کردند: «این به طور بالقوه بسیار خطرناک است.

موجی مداوم از سازش‌های سایبری

Billbug (با نام مستعار Lotus Blossom یا Thrip) یک گروه جاسوسی مستقر در چین است که عمدتاً قربانیان را در جنوب شرقی آسیا هدف قرار می دهد. این برای شکار بازی های بزرگ شناخته شده است - یعنی دنبال کردن اسرار سازمان های نظامی، نهادهای دولتی و ارائه دهندگان ارتباطات. گاهی اوقات شبکه گسترده‌تری ایجاد می‌کند و به انگیزه‌های تاریک‌تر اشاره می‌کند: در یک نمونه گذشته، به یک اپراتور هوافضا نفوذ کرد تا رایانه‌هایی را که حرکات ماهواره‌ها را نظارت و کنترل می‌کنند، آلوده کند.

در آخرین دوره از فعالیت های شرورانه، APT به مجموعه ای از سازمان های دولتی و دفاعی در سراسر آسیا برخورد کرد و در یک مورد «تعداد زیادی از ماشین ها» را در یک شبکه دولتی با بدافزار سفارشی خود هجوم آورد.

بریجید او گورمن، تحلیلگر ارشد اطلاعاتی در تیم شکارچی تهدید سیمانتک می‌گوید: «این کمپین حداقل از مارس 2022 تا سپتامبر 2022 ادامه داشت، و ممکن است این فعالیت ادامه داشته باشد. Billbug یک گروه تهدید با سابقه طولانی مدت است که در طول سال ها کمپین های متعددی را انجام داده است. این امکان وجود دارد که این فعالیت به سازمان‌ها یا مناطق جغرافیایی دیگری نیز گسترش یابد، اگرچه سیمانتک در حال حاضر هیچ مدرکی دال بر آن ندارد.

رویکردی آشنا به حملات سایبری

در آن اهداف و همچنین در CA، بردار دسترسی اولیه، بهره برداری از برنامه های کاربردی آسیب پذیر و عمومی بوده است. پس از به دست آوردن توانایی اجرای کد، عوامل تهدید به نصب درهای پشتی شناخته شده، سفارشی Hannotog یا Sagerunex می پردازند، قبل از اینکه عمیق تر در شبکه ها نفوذ کنند.

برای مراحل بعدی زنجیره کشتن، مهاجمان Billbug از چندین مورد استفاده می کنند باینری های زندگی خارج از زمین (LoLBins)بر اساس گزارش سیمانتک، مانند AdFind، Certutil، NBTscan، Ping، Port Scanner، Route، Tracert، Winmail و WinRAR.

از این ابزارهای قانونی می‌توان برای استفاده‌های مختلف مانند جست‌وجوی اکتیو دایرکتوری برای نقشه‌برداری از شبکه، فایل‌های ZIP برای خروج، کشف مسیرهای بین نقاط پایانی، اسکن NetBIOS و پورت‌ها، و نصب گواهی‌های ریشه مرورگر، و همچنین دانلود بدافزارهای اضافی، سوء استفاده کرد. .

درهای پشتی سفارشی همراه با ابزارهای دوگانه، ردپایی آشناست که در گذشته توسط APT استفاده شده است. اما عدم نگرانی در مورد قرار گرفتن در معرض عموم است همتراز دوره برای گروه.

گورمن می‌گوید: «قابل توجه است که به نظر می‌رسد Billbug از احتمال نسبت دادن این فعالیت به آن، با استفاده مجدد از ابزارهایی که در گذشته با گروه مرتبط بوده‌اند، منصرف نشده است.

او می افزاید: «استفاده سنگین این گروه از زندگی در زمین و ابزارهای دو منظوره نیز قابل توجه است و بر نیاز سازمان ها به داشتن محصولات امنیتی که نه تنها می توانند بدافزارها را شناسایی کنند، تأکید می کند. همچنین تشخیص دهد که آیا ابزارهای قانونی به طور بالقوه استفاده می شوند یا خیر به صورت مشکوک یا بدخواهانه.»

سیمانتک به CA بی نام مورد نظر اطلاع داده است تا از این فعالیت مطلع شود، اما Gorman از ارائه جزئیات بیشتر در مورد پاسخ یا تلاش های اصلاحی خودداری کرد.

در حالی که تاکنون هیچ نشانه‌ای مبنی بر اینکه این گروه توانسته است گواهی‌های دیجیتال واقعی را به خطر بیندازد، وجود ندارد، این محقق توصیه می‌کند، «شرکت‌ها باید آگاه باشند که اگر عوامل تهدید بتوانند به مقامات گواهی دسترسی پیدا کنند، بدافزارها می‌توانند با گواهی‌های معتبر امضا شوند.»

او می‌گوید به طور کلی، سازمان‌ها باید یک استراتژی دفاعی عمیق را اتخاذ کنند و از فناوری‌های تشخیص، حفاظت و سخت‌سازی متعدد برای کاهش خطر در هر نقطه از زنجیره حمله احتمالی استفاده کنند.

گورمن خاطرنشان کرد: "سیمانتک همچنین اجرای ممیزی و کنترل مناسب استفاده از حساب اداری را توصیه می کند." ما همچنین پیشنهاد می‌کنیم پروفایل‌های استفاده را برای ابزارهای مدیریت ایجاد کنید، زیرا بسیاری از این ابزارها توسط مهاجمان برای حرکت به صورت غیرقابل شناسایی در شبکه استفاده می‌شوند. در کل، احراز هویت چند عاملی (MFA) می تواند به محدود کردن سودمندی اعتبارنامه های به خطر افتاده کمک کند.

تمبر زمان:

بیشتر از تاریک خواندن