Linux への移行: 中国の APT Alloy Taurus がリツールで復活

短い休止期間を経て、Alloy Taurus APT (別名ガリウムまたはオペレーション ソフト セル) が、PingPull マルウェアの新しい Linux 亜種とともに再び登場しました。

アロイトーラスは、 中国国家系の脅威アクター、少なくとも 2012 年から存在しますが、脚光を浴びるようになったのは 2019 年になってからです。スパイ活動に焦点を当てており、大手電気通信プロバイダーをターゲットにすることでよく知られています。

昨年 XNUMX 月のブログ投稿で、パロアルトネットワークスの ユニット 42 はオリジナルの詳細を公開, Windows版のPingPull。 これは Visual C++ ベースのリモート アクセス トロイの木馬 (RAT) であり、その所有者がコマンドを実行し、侵害されたターゲット コンピュータ上でリバース シェルにアクセスできるようにしました。

Alloy Taurus は 2022 年後半に打撃を受けました。 しかし今は完全に戻っています。 「彼らは Windows バージョンの PingPull を焼き付けました」と Unit 42 の主任研究員である Pete Renals は説明します。「彼らは、別の亜種に切り替えるある程度の専門知識を示す新しい機能を開発しました。」

Linux の亜種は、その祖先である Windows と主に重複しており、攻撃者がファイルの一覧表示、読み取り、書き込み、コピー、名前変更、削除、およびコマンドの実行を可能にします。 興味深いことに、PingPull は一部の関数、HTTP パラメータ、およびコマンド ハンドラも共有しています。 China Chopper Web シェル 悪名高く配備された Microsoft Exchange Server に対する 2021 年の攻撃.

合金トーラスの崩壊

Alloy Taurus は 2018 年から 2019 年にかけて急速に登場し、世界中の大手通信プロバイダーに対する大胆なスパイ活動を行いました。 として サイバーリーズンの説明 2019 年 XNUMX 月の当時最新のブログ投稿では、「攻撃者は、Active Directory に保存されているすべてのデータを盗もうとし、組織内のすべてのユーザー名とパスワードに加え、その他の個人識別情報、請求データ、通話詳細記録も侵害しようとしていました」と述べています。 、資格情報、電子メール サーバー、ユーザーの地理位置情報などです。」

他の中国国家レベルのAPTと比較しても、「かなり成熟しており、かなり深刻」だとレナルズ氏は評価する。 「AT&T、Verizon、Deutsche Telekom にアクセスしてルーターの設定を変更するには、ある程度の専門知識が必要です。 それは、いかなる形でも、形でも、あなたのジュニア代表チームではありません。」

しかし、研究者が最近発見したように、Alloy Taurus は無敵ではありませんでした。

Unit 2021 は 2022 月のブログ投稿で、このグループが 42 年後半から XNUMX 年初頭にかけて、複数のキャンペーンで PingPull Windows RAT を活用し、飛躍的に成長したと述べています。 標的となったのは通信会社だけでなく、アフガニスタン、オーストラリア、ベルギー、カンボジア、マレーシア、モザンビーク、フィリピン、ロシア、ベトナムにある軍や政府機関もターゲットでした。

そして、「XNUMX 月に発表してからわずか XNUMX ～ XNUMX 日後に、彼らがレポートで取り上げられていたすべてのインフラストラクチャを放棄するのを目撃しました」とレナルズ氏は言います。 「彼らはすべてを特定の政府と東南アジアを指すように変更しました。その結果、すべてのビーコンインプラントとすべての犠牲者は別の国にリダイレクトされました。そして彼らは基本的にすべての手を拭きました。」

合金トーラスの帰還

アロイ・トーラスは完全に消滅したわけではないが、確実に後退していた。 「彼らは土地を利用して暮らしていました」とレナルズ氏は説明する。 「コアの上流インフラストラクチャの一部はオープンのまま稼働し続けました。」

この勝利は長くは続かず、XNUMX月に研究者らが生命の新たな兆候を発見した。 そして XNUMX 月には、古い PingPull マルウェアの Linux サンプルをキャプチャしました。 「これは、成熟した APT が非常に迅速に反応し、調整できる能力を示しています」と Renals 氏は言います。

APT が新しい形で簡単に戻ってくることができるということは、サイバー防御者にとって難題です。 明日、新しいメイクをして戻ってくることができるとしたら、今日、Alloy Taurus のようなグループからどうやって身を守ることができるでしょうか?

「特定の侵害指標 (IoC) を追跡する時代はほぼ終わったと思います」と Renals 氏は言います。 「現在では、テクニックと戦術を追跡し、その種のアクティビティを検出するための行動分析を行うことが重要です。 私たちはそこにエンドポイントを移行しており、ネットワークセキュリティも移行しています。」

新しい PingPull の発見は、洗練された APT を探り出すこのより良い方法の好例であると彼は信じています。 「Linux 亜種については、当初は無害であると判断していた可能性があります。 それから私たちはそれを見て言いました、「おい、ちょっと待って」 これは、他の悪意のあるものと非常によく似た特徴を持っています。 人間にこれを見てもらいましょう。』 したがって、その能力を持つことが不可欠です。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• プラトアイストリーム。 Web3 データ インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• 未来を鋳造する w エイドリエン・アシュリー。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/endpoint/linux-chinese-apt-alloy-taurus-back-retooling