Linux Shift: Chinese APT Alloy Taurus on palannut uusien työkalujen kanssa

Lyhyen tauon jälkeen Alloy Taurus APT (alias Gallium tai Operation Soft Cell) on palannut näyttämölle uudella Linux-versiolla sen PingPull-haittaohjelmasta.

Alloy Taurus on a Kiinan kansallisvaltioon liittyvä uhkatoimija, noin ainakin vuodesta 2012, mutta vain valokeilassa vuodesta 2019. Se keskittyy vakoiluun, ja se tunnetaan parhaiten suurten televiestintäpalvelujen tarjoajien kohdistamisesta.

Palo Alto Networksin blogikirjoituksessa viime kesäkuussa Yksikkö 42 julkaisi alkuperäisen yksityiskohdat, PingPullin Windows-versio. Se oli Visual C++ -pohjainen etäkäyttötroijalainen (RAT), jonka avulla sen haltija pystyi suorittamaan komentoja ja käyttämään käänteistä kuorta vaarantuneessa kohdetietokoneessa.

Alloy Taurus sai osuman vuoden 2022 toisella puoliskolla, mutta nyt se on taas täysillä. "He polttivat PingPullin Windows-version", selittää yksikön 42 päätutkija Pete Renals, "ja he ovat kehittäneet uuden ominaisuuden, joka osoittaa jonkinasteista asiantuntemusta siirtymisestä toiseen versioon."

Linux-versio on suurelta osin päällekkäinen Windows-esi-isänsä kanssa, jolloin hyökkääjät voivat luetella, lukea, kirjoittaa, kopioida, nimetä uudelleen ja poistaa tiedostoja sekä suorittaa komentoja. Mielenkiintoista on, että PingPull jakaa myös joitain toimintoja, HTTP-parametreja ja komentokäsittelijöitä China Chopper Web -kuori pahamaineisesti otettu käyttöön vuoden 2021 hyökkäykset Microsoft Exchange -palvelimia vastaan.

The Fall of Alloy Taurus

Alloy Taurus ryntäsi näyttämölle vuosina 2018–2019 rohkeilla vakoilukampanjoilla suuria teleoperaattoreita vastaan ​​ympäri maailmaa. Kuten Cybereason selitti kesäkuussa 2019 ilmestyneessä blogiviestissään "uhkatekijä yritti varastaa kaikki aktiiviseen hakemistoon tallennetut tiedot vaarantaen organisaation jokaisen käyttäjänimen ja salasanan sekä muut henkilökohtaiset tunnistetiedot, laskutustiedot ja puhelutiedot. , tunnistetiedot, sähköpostipalvelimet, käyttäjien maantieteellinen sijainti ja paljon muuta."

Jopa verrattuna muihin Kiinan osavaltiotason APT:ihin, se on "melko kypsä ja melko vakava", Renals arvioi. "Kysymys päästä AT&T:hen, Verizoniin tai Deutsche Telekomiin, olla alhaalla ja muuttaa reitittimen asetuksia vaatii tietyn tason asiantuntemusta. Se ei ole juniorikoulusi joukkueesi millään tavalla, muodossa tai muodossa."

Mutta Alloy Taurus ei ollut haavoittumaton, kuten tutkijat äskettäin havaitsivat.

Ryhmä lensi korkealla loppuvuodesta 2021 ja alkuvuodesta 2022 hyödyntäen PingPull Windows RAT -ohjelmaa useissa kampanjoissa, Unit 42 totesi kesäkuun blogikirjoituksessaan. Se kohdistui televiestintään, mutta myös sotilas- ja hallitusorganisaatioihin, jotka sijaitsevat Afganistanissa, Australiassa, Belgiassa, Kambodžassa, Malesiassa, Mosambikissa, Filippiineillä, Venäjällä ja Vietnamissa.

Sitten "vain kolme tai viisi päivää kesäkuun julkaisemisen jälkeen katselimme heidän luopuvan kaikesta raportissa käsitellystä infrastruktuuristaan", Renals sanoo. "He muuttivat kaiken viittaamaan tiettyyn hallitukseen ja Kaakkois-Aasiaan - niin että kaikki beaconing-istutteet ja kaikki uhrit ohjattiin toiseen maahan - ja he periaatteessa pyyhkivät kätensä kaikesta."

Alloy Taurusin paluu

Alloy Taurus ei ollut kadonnut kokonaan, mutta se oli varmasti vetäytynyt. "He elivät maasta", Renals selittää. "Osa alkupään ydininfrastruktuurista pysyi auki ja toiminnassa."

Voitto jäi lyhytaikaiseksi, kun joulukuussa tutkijat havaitsivat uusia elonmerkkejä. Ja maaliskuussa he vangitsivat Linux-näytteen vanhasta PingPull-haittaohjelmasta. "Se osoittaa kypsän APT:n kyvyn reagoida ja mukautua hyvin nopeasti", Renals sanoo.

Se, että APT:t voivat palata niin vaivattomasti uusissa muodoissa, on kyberpuolustajille ongelma. Kuinka suojautua Alloy Taurus -ryhmältä tänään, jos se voi yksinkertaisesti palata uudella meikillä huomenna?

"Uskon, että tiettyjen kompromissiindikaattoreiden (IoC) seuranta on pitkälti takanapäin", Renals sanoo. "Nyt on kyse enemmän tekniikoiden ja taktiikkojen seuraamisesta ja käyttäytymisanalytiikan saamisesta havaitakseen tällainen toiminta. Sinne siirrämme päätepistettä, sinne siirrämme myös verkon turvallisuutta."

Hän uskoo, että uuden PingPullin löytäminen on hyvä esimerkki tästä paremmasta tavasta saada selville kehittyneitä APT:itä. "Linux-version kohdalla olemme saaneet aluksi arvioida sen hyvänlaatuiseksi. Ja sitten katsoimme sitä ja sanoimme: 'Hei, odota hetki. Tällä on hyvin samankaltaisia ​​ominaisuuksia kuin jollain muulla haitallisella. Käydään ihmisen katsomassa tätä.” Joten tuo kyky on välttämätöntä.”

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
• Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
• Lähde: https://www.darkreading.com/endpoint/linux-chinese-apt-alloy-taurus-back-retooling