Linux Shift: A kínai APT Alloy Taurus újraszerszámozással visszatért

Rövid szünet után az Alloy Taurus APT (más néven Gallium vagy Operation Soft Cell) visszatér a színre, a PingPull kártevő új Linux-változatával.

Az Alloy Taurus egy A kínai nemzetállamhoz kötődő fenyegetettség szereplője, legalább 2012 óta, de csak 2019 óta a reflektorfényben. A kémkedésre összpontosít, és leginkább a nagy távközlési szolgáltatók megcélzásáról ismert.

Egy tavaly júniusi blogbejegyzésben a Palo Alto Networks A 42. egység részleteket közölt az eredetiről, a PingPull Windows-verziója. Ez egy Visual C++ alapú távoli hozzáférésű trójai (RAT), amely lehetővé tette tulajdonosa számára, hogy parancsokat futtasson, és hozzáférjen egy fordított shellhez egy feltört célszámítógépen.

Az Alloy Taurus nagy sikert aratott 2022 második felében, de most újra teljes egészében. „Elégették a PingPull Windows-verzióját – magyarázza Pete Renals, a 42-es részleg vezető kutatója –, és egy új képességet hoztak létre, amely bizonyos fokú szakértelemről tanúskodik egy másik változatra való váltásban.”

A Linux változat nagyrészt átfedésben van a Windows ősével, lehetővé téve a támadók számára a fájlok listázását, olvasását, írását, másolását, átnevezését és törlését, valamint parancsok futtatását. Érdekes módon a PingPull megoszt néhány funkciót, HTTP-paramétert és parancskezelőt is a China Chopper Web shell hírhedten telepítették be a Microsoft Exchange szerverek elleni 2021-es támadások.

Az ötvözött Taurus bukása

Az Alloy Taurus 2018–2019-ben berobbant a színre, merész kémkampányokkal a nagy távközlési szolgáltatók ellen szerte a világon. Mint Cybereason elmagyarázta 2019 júniusában megjelent blogbejegyzésében „a fenyegetőző megpróbálta ellopni az aktív címtárban tárolt összes adatot, és ezzel a szervezet minden egyes felhasználónevét és jelszavát, valamint egyéb személyazonosításra alkalmas információkat, számlázási adatokat, hívásrészletrekordokat feltört. , hitelesítő adatok, e-mail szerverek, a felhasználók földrajzi helye és még sok más."

Még a többi kínai állami szintű APT-vel összehasonlítva is „meglehetősen érett és meglehetősen komoly” – értékeli Renals. „Az AT&T, a Verizon vagy a Deutsche Telekom szolgáltatásaiba való bejutáshoz, a lefekvéshez és a router konfigurációjának megváltoztatásához bizonyos fokú szakértelem szükséges. Semmilyen formában, formában vagy formában nem ez a junior egyetemi csapatod.”

De az Alloy Taurus nem volt sebezhetetlen, ahogy a kutatók nemrég felfedezték.

A csoport 2021 végén és 2022 elején magasra lendült, és több kampányban is használta PingPull Windows RAT-ját – jegyezte meg a Unit 42 júniusi blogbejegyzésében. Megcélozta a távközlést, de katonai és kormányzati szervezeteket is, amelyek Afganisztánban, Ausztráliában, Belgiumban, Kambodzsában, Malajziában, Mozambikban, a Fülöp-szigeteken, Oroszországban és Vietnamban találhatók.

Aztán „csak három-öt nappal azután, hogy júniusban publikáltuk, azt láttuk, hogy elhagyták a jelentésben szereplő összes infrastruktúrájukat” – mondja Renals. „Mindent megváltoztattak, hogy egy adott kormányra és Délkelet-Ázsiára mutassanak – így az összes beaconing implantátumot és az összes áldozatot átirányították egy másik országba –, és lényegében megtörölték a kezüket az egésztől.”

Az ötvözött Taurus visszatérése

Az Alloy Taurus nem tűnt el teljesen, de minden bizonnyal visszavonult. „A földből éltek” – magyarázza Renals. „Az alapvető upstream infrastruktúra egy része nyitva maradt és működött.”

A győzelem rövid életű volt, amikor decemberben a kutatók új életjeleket észleltek. Márciusban pedig egy Linux-mintát rögzítettek a régi PingPull kártevőről. „Ez azt mutatja, hogy egy érett APT képes nagyon gyorsan reagálni és alkalmazkodni” – mondja Renals.

Az, hogy az APT-k könnyedén visszatérhetnek új formákban, rejtélyt jelent a kibervédők számára. Hogyan védekezhet ma egy olyan csoport ellen, mint az Alloy Taurus, ha holnap egyszerűen visszatérhet új sminkben?

„Úgy gondolom, hogy a kompromisszum specifikus mutatóinak (IoC) nyomon követésének napjai nagyrészt mögöttünk vannak” – mondja Renals. „Most inkább a technikák és a taktikák nyomon követéséről van szó, valamint a viselkedéselemzésről az ilyen jellegű tevékenységek észleléséhez. Itt változtatjuk meg a végpontot, itt helyezzük át a hálózati biztonságot is.”

Úgy véli, hogy az új PingPull felfedezése jó példa a kifinomult APT-k kiszűrésére. „A Linux-változatot kezdetben jóindulatúnak ítéltük meg. Aztán megnéztük, és azt mondtuk: „Hé, várj egy percet. Ez nagyon hasonló tulajdonságokkal rendelkezik valami más rosszindulatúhoz. Hadd nézze meg ezt az ember. Tehát ez a képesség elengedhetetlen.”

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
• A jövő pénzverése – Adryenn Ashley. Hozzáférés itt.
• Forrás: https://www.darkreading.com/endpoint/linux-chinese-apt-alloy-taurus-back-retooling