短い休止期間を経て、Alloy Taurus APT (別名ガリウムまたはオペレーション ソフト セル) が、PingPull マルウェアの新しい Linux 亜種とともに再び登場しました。
アロイトーラスは、 中国国家系の脅威アクター、少なくとも 2012 年から存在しますが、脚光を浴びるようになったのは 2019 年になってからです。スパイ活動に焦点を当てており、大手電気通信プロバイダーをターゲットにすることでよく知られています。
昨年 XNUMX 月のブログ投稿で、パロアルトネットワークスの ユニット 42 はオリジナルの詳細を公開, Windows版のPingPull。 これは Visual C++ ベースのリモート アクセス トロイの木馬 (RAT) であり、その所有者がコマンドを実行し、侵害されたターゲット コンピュータ上でリバース シェルにアクセスできるようにしました。
Alloy Taurus は 2022 年後半に打撃を受けました。 しかし今は完全に戻っています。 「彼らは Windows バージョンの PingPull を焼き付けました」と Unit 42 の主任研究員である Pete Renals は説明します。「彼らは、別の亜種に切り替えるある程度の専門知識を示す新しい機能を開発しました。」
Linux の亜種は、その祖先である Windows と主に重複しており、攻撃者がファイルの一覧表示、読み取り、書き込み、コピー、名前変更、削除、およびコマンドの実行を可能にします。 興味深いことに、PingPull は一部の関数、HTTP パラメータ、およびコマンド ハンドラも共有しています。 China Chopper Web シェル 悪名高く配備された Microsoft Exchange Server に対する 2021 年の攻撃.
合金トーラスの崩壊
Alloy Taurus は 2018 年から 2019 年にかけて急速に登場し、世界中の大手通信プロバイダーに対する大胆なスパイ活動を行いました。 として サイバーリーズンの説明 2019 年 XNUMX 月の当時最新のブログ投稿では、「攻撃者は、Active Directory に保存されているすべてのデータを盗もうとし、組織内のすべてのユーザー名とパスワードに加え、その他の個人識別情報、請求データ、通話詳細記録も侵害しようとしていました」と述べています。 、資格情報、電子メール サーバー、ユーザーの地理位置情報などです。」
他の中国国家レベルのAPTと比較しても、「かなり成熟しており、かなり深刻」だとレナルズ氏は評価する。 「AT&T、Verizon、Deutsche Telekom にアクセスしてルーターの設定を変更するには、ある程度の専門知識が必要です。 それは、いかなる形でも、形でも、あなたのジュニア代表チームではありません。」
しかし、研究者が最近発見したように、Alloy Taurus は無敵ではありませんでした。
Unit 2021 は 2022 月のブログ投稿で、このグループが 42 年後半から XNUMX 年初頭にかけて、複数のキャンペーンで PingPull Windows RAT を活用し、飛躍的に成長したと述べています。 標的となったのは通信会社だけでなく、アフガニスタン、オーストラリア、ベルギー、カンボジア、マレーシア、モザンビーク、フィリピン、ロシア、ベトナムにある軍や政府機関もターゲットでした。
そして、「XNUMX 月に発表してからわずか XNUMX ~ XNUMX 日後に、彼らがレポートで取り上げられていたすべてのインフラストラクチャを放棄するのを目撃しました」とレナルズ氏は言います。 「彼らはすべてを特定の政府と東南アジアを指すように変更しました。その結果、すべてのビーコンインプラントとすべての犠牲者は別の国にリダイレクトされました。そして彼らは基本的にすべての手を拭きました。」
合金トーラスの帰還
アロイ・トーラスは完全に消滅したわけではないが、確実に後退していた。 「彼らは土地を利用して暮らしていました」とレナルズ氏は説明する。 「コアの上流インフラストラクチャの一部はオープンのまま稼働し続けました。」
この勝利は長くは続かず、XNUMX月に研究者らが生命の新たな兆候を発見した。 そして XNUMX 月には、古い PingPull マルウェアの Linux サンプルをキャプチャしました。 「これは、成熟した APT が非常に迅速に反応し、調整できる能力を示しています」と Renals 氏は言います。
APT が新しい形で簡単に戻ってくることができるということは、サイバー防御者にとって難題です。 明日、新しいメイクをして戻ってくることができるとしたら、今日、Alloy Taurus のようなグループからどうやって身を守ることができるでしょうか?
「特定の侵害指標 (IoC) を追跡する時代はほぼ終わったと思います」と Renals 氏は言います。 「現在では、テクニックと戦術を追跡し、その種のアクティビティを検出するための行動分析を行うことが重要です。 私たちはそこにエンドポイントを移行しており、ネットワークセキュリティも移行しています。」
新しい PingPull の発見は、洗練された APT を探り出すこのより良い方法の好例であると彼は信じています。 「Linux 亜種については、当初は無害であると判断していた可能性があります。 それから私たちはそれを見て言いました、「おい、ちょっと待って」 これは、他の悪意のあるものと非常によく似た特徴を持っています。 人間にこれを見てもらいましょう。』 したがって、その能力を持つことが不可欠です。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- プラトアイストリーム。 Web3 データ インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- 未来を鋳造する w エイドリエン・アシュリー。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/endpoint/linux-chinese-apt-alloy-taurus-back-retooling
- :持っている
- :は
- :not
- :どこ
- $UP
- 2012
- 2019
- 2021
- 2022
- 7
- a
- 能力
- 私たちについて
- アクセス
- アクティブ
- アクティビティ
- アフガニスタン
- 後
- に対して
- 別名
- すべて
- 許可
- 合金
- 沿って
- また
- an
- 分析論
- および
- 別の
- どれか
- APT
- です
- 周りに
- AS
- アジア
- At
- AT&T
- 攻撃
- 試みる
- オーストラリア
- バック
- 基本的に
- 背後に
- ベルギー
- と考えています
- BEST
- より良いです
- 請求
- ブログ
- 大胆な
- 焼け
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- コール
- カンボジア
- キャンペーン
- 缶
- 場合
- 一定
- 確かに
- 変化する
- 特性
- 中国
- 中国語
- 比べ
- 妥協
- 損害を受けた
- 妥協する
- コンピュータ
- 基本
- 国
- カバー
- Credentials
- サイバー
- データ
- 日
- 12月
- ディフェンダー
- 度
- 実証
- 展開
- 詳細
- 細部
- ドイツテレコム
- 異なります
- 発見
- ありません
- 早い
- 使用可能
- エンドポイント
- 完全に
- スパイ
- 本質的な
- あらゆる
- すべてのもの
- 交換
- 専門知識
- 説明
- かなり
- 秋
- 飛行
- 焦点を当てて
- フォーム
- フォーム
- 機能
- 取得する
- Go
- 政府・公共機関
- グループ
- 持っていました
- 半分
- ハンド
- 持ってる
- 持って
- he
- ハイ
- ヒット
- 認定条件
- HTTP
- HTTPS
- 人間
- i
- if
- in
- インジケータ
- 情報
- インフラ関連事業
- 当初
- に
- IT
- ITS
- JPG
- 六月
- 種類
- 既知の
- 土地
- 主として
- 姓
- 遅く
- う
- 生活
- ような
- linuxの
- リスト
- 生活
- 位置して
- 見て
- 見
- ロー
- 主要な
- メイクアップ
- マレーシア
- マルウェア
- 3月
- 成熟した
- 五月..
- Microsoft
- ミリタリー用(軍用)機材
- 分
- 他には?
- モザンビーク
- の試合に
- ネットワーク
- ネットワークセキュリティー
- ネットワーク
- 新作
- 注意
- 今
- of
- オフ
- 古い
- on
- ONE
- の
- 開いた
- 操作
- or
- 組織
- 組織
- その他
- でる
- パロアルト
- パラメータ
- パスワード
- 個人的に
- フィリピン
- ピックアップ
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- ポスト
- プレゼント
- 校長
- 守る
- プロバイダ
- 公表
- すぐに
- RAT
- RE
- 読む
- 最近
- 記録
- 残った
- リモート
- リモートアクセス
- レポート
- 必要
- 研究者
- 研究者
- 反応します
- return
- 逆
- ルータ
- ラン
- ランニング
- ロシア
- s
- 前記
- 言う
- シーン
- 二番
- セキュリティ
- 深刻な
- サーバー
- 形状
- 株式
- シェル(Shell)
- シフト
- シフト
- 作品
- サイン
- 同様の
- 単に
- から
- So
- ソフト
- 一部
- 何か
- 洗練された
- 東南アジア
- 特定の
- スポットライト
- 回転した
- 保存され
- 戦術
- ターゲット
- 対象となります
- ターゲット
- 牡牛座
- チーム
- テクニック
- 電気通信
- 電気通信
- それ
- フィリピン
- 世界
- アプリ環境に合わせて
- それら
- その後
- 彼ら
- 考える
- この
- 脅威
- 三
- 〜へ
- 今日
- 明日
- 追跡
- トロイの
- 単位
- us
- users
- 活用
- バリアント
- Ve
- ベライゾン
- バージョン
- 非常に
- 犠牲者
- 勝利
- ベトナム
- wait
- ました
- 監視
- 仕方..
- we
- ウェブ
- WELL
- した
- いつ
- which
- ウィンドウズ
- 世界
- 書きます
- あなたの
- ゼファーネット