Etter en kort pause er Alloy Taurus APT (aka Gallium eller Operation Soft Cell) tilbake på scenen, med en ny Linux-variant av PingPull-skadevare.
Alloy Taurus er en Kinesisk nasjonalstat-tilknyttet trusselaktør, rundt siden minst 2012, men bare i søkelyset siden 2019. Den fokuserer på spionasje, og er mest kjent for å sikte mot store telekommunikasjonsleverandører.
I et blogginnlegg i juni i fjor skrev Palo Alto Networks Enhet 42 publiserte detaljer om originalen, Windows-versjon av PingPull. Det var en Visual C++-basert fjerntilgang Trojan (RAT), som gjorde det mulig for eieren å kjøre kommandoer og få tilgang til et omvendt skall på en kompromittert måldatamaskin.
Alloy Taurus fikk et slag i andre halvdel av 2022, men nå er den tilbake for fullt. "De brente Windows-versjonen av PingPull," forklarer Pete Renals, hovedforsker ved Unit 42, "og de har utviklet en ny funksjon som viser en viss grad av ekspertise ved å bytte til en annen variant."
Linux-varianten overlapper i stor grad med sin Windows-forfedre, slik at angriperne kan liste, lese, skrive, kopiere, gi nytt navn og slette filer, samt kjøre kommandoer. Interessant nok deler PingPull også noen funksjoner, HTTP-parametere og kommandobehandlere med China Chopper Web-skallet beryktet utplassert i 2021-angrepene mot Microsoft Exchange-servere.
Fall of Alloy Taurus
Alloy Taurus brast inn på scenen i 2018–2019, med dristige spionasjekampanjer mot store telekommunikasjonsleverandører over hele verden. Som Cybereason forklart i sitt da banebrytende blogginnlegg i juni 2019, «forsøkte trusselaktøren å stjele alle data lagret i den aktive katalogen, og kompromitterte hvert enkelt brukernavn og passord i organisasjonen, sammen med annen personlig identifiserbar informasjon, faktureringsdata, samtaledetaljer , legitimasjon, e-postservere, geolokalisering av brukere og mer.»
Selv sammenlignet med andre kinesiske APT-er på statlig nivå, er det "ganske modent og ganske alvorlig," vurderer Renals. "Muligheten til å komme inn i en AT&T eller Verizon eller Deutsche Telekom, ligge lavt og endre ruterkonfigurasjoner krever en viss grad av ekspertise. Det er ikke ditt juniorlag på noen måte, form eller form.»
Men Alloy Taurus var ikke usårbar, som forskere nylig oppdaget.
Gruppen fløy høyt i slutten av 2021 og begynnelsen av 2022, og brukte PingPull Windows RAT i flere kampanjer, bemerket Unit 42 i sitt blogginnlegg i juni. Den var rettet mot telekom, men også militære og statlige organisasjoner, lokalisert i Afghanistan, Australia, Belgia, Kambodsja, Malaysia, Mosambik, Filippinene, Russland og Vietnam.
Så, "bare tre til fem dager etter at vi publiserte i juni, så vi dem forlate all infrastrukturen som ble dekket i rapporten," sier Renals. "De endret alt for å peke mot en spesifikk regjering og Sørøst-Asia - slik at alle beaconing-implantatene og alle ofrene ble omdirigert til et annet land - og de tørket i utgangspunktet hendene for alt det."
Alloy Taurus' retur
Alloy Taurus hadde ikke forsvunnet helt, men den hadde absolutt trukket seg tilbake. "De levde av landet," forklarer Renals. "Noe av kjernestrukturen oppstrøms forble åpen og i drift."
Seieren ble kortvarig da forskerne i desember fant opp nye livstegn. Og i mars fanget de et Linux-eksempel av den gamle PingPull-malwaren. "Det viser en moden APTs evne til å reagere og justere veldig raskt," sier Renals.
At APT-er så enkelt kan komme tilbake i nye former, utgjør en gåte for cyberforsvarere. Hvordan beskytter man seg mot en gruppe som Alloy Taurus i dag, hvis den rett og slett kan komme tilbake med ny sminke i morgen?
"Jeg tror dagene med å spore spesifikke indikatorer for kompromiss (IoCs) i stor grad ligger bak oss," sier Renals. "Nå handler det mer om å spore teknikkene og taktikkene, og ha atferdsanalysene til å oppdage den typen aktivitet. Det er der vi flytter endepunktet, det er der vi også flytter nettverkssikkerhet.»
Å oppdage den nye PingPull, mener han, er et eksempel på denne bedre måten å oppdrive sofistikerte APT-er. "Med Linux-varianten kan vi i utgangspunktet ha triagert den som godartet. Og så så vi på det og sa: 'Hei, vent litt. Dette har veldig lignende egenskaper som noe annet som er ondsinnet. La oss få et menneske til å se på dette.' Så det er viktig å ha den evnen."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoAiStream. Web3 Data Intelligence. Kunnskap forsterket. Tilgang her.
- Minting the Future med Adryenn Ashley. Tilgang her.
- kilde: https://www.darkreading.com/endpoint/linux-chinese-apt-alloy-taurus-back-retooling
- : har
- :er
- :ikke
- :hvor
- $OPP
- 2012
- 2019
- 2021
- 2022
- 7
- a
- evne
- Om oss
- adgang
- aktiv
- aktivitet
- Afghanistan
- Etter
- mot
- aka
- Alle
- tillate
- Alloy
- langs
- også
- an
- analytics
- og
- En annen
- noen
- APT
- ER
- rundt
- AS
- asia
- At
- AT & T
- Angrep
- forsøker
- Australia
- tilbake
- I utgangspunktet
- bak
- Belgia
- mener
- BEST
- Bedre
- fakturering
- Blogg
- pin
- brent
- men
- ring
- Kambodsja
- Kampanjer
- CAN
- saken
- viss
- Gjerne
- endring
- egenskaper
- Kina
- Kinesisk
- sammenlignet
- kompromiss
- kompromittert
- kompromittere
- datamaskin
- Kjerne
- land
- dekket
- Credentials
- cyber
- dato
- Dager
- Desember
- Defenders
- Grad
- demonstrerer
- utplassert
- detalj
- detaljer
- DEUTSCHE TELECOM
- forskjellig
- oppdaget
- gjør
- Tidlig
- emalje
- aktivert
- Endpoint
- fullstendig
- spionasje
- avgjørende
- Hver
- alt
- utveksling
- ekspertise
- forklarer
- ganske
- Fall
- Filer
- flying
- fokuserer
- Til
- skjema
- skjemaer
- funksjoner
- få
- Go
- Regjeringen
- Gruppe
- HAD
- Halvparten
- hender
- Ha
- å ha
- he
- Høy
- hit
- Hvordan
- http
- HTTPS
- menneskelig
- i
- if
- in
- indikatorer
- informasjon
- Infrastruktur
- i utgangspunktet
- inn
- IT
- DET ER
- jpg
- juni
- Type
- kjent
- Tomt
- i stor grad
- Siste
- Late
- la
- Life
- i likhet med
- linux
- Liste
- levende
- ligger
- Se
- så
- Lav
- større
- sminke
- Malaysia
- malware
- Mars
- moden
- Kan..
- Microsoft
- Militær
- minutt
- mer
- Mosambik
- flere
- nettverk
- Nettverkssikkerhet
- nettverk
- Ny
- bemerket
- nå
- of
- off
- Gammel
- on
- ONE
- bare
- åpen
- drift
- or
- organisasjon
- organisasjoner
- Annen
- ut
- Palo Alto
- parametere
- Passord
- personlig
- Filippinene
- plukket
- plato
- Platon Data Intelligence
- PlatonData
- Point
- Post
- gaver
- Principal
- beskytte
- tilbydere
- publisert
- raskt
- ROTTE
- RE
- Lese
- nylig
- poster
- forble
- fjernkontroll
- fjerntilgang
- rapporterer
- Krever
- forsker
- forskere
- Svare
- retur
- reversere
- router
- Kjør
- rennende
- Russland
- s
- Sa
- sier
- scene
- Sekund
- sikkerhet
- alvorlig
- Servere
- Form
- Aksjer
- Shell
- skift
- SKIFTENDE
- Viser
- Skilt
- lignende
- ganske enkelt
- siden
- enkelt
- So
- Soft
- noen
- noe
- sofistikert
- Sørøst-Asia
- spesifikk
- Spotlight
- spunnet
- lagret
- taktikk
- Target
- målrettet
- rettet mot
- Taurus
- lag
- teknikker
- telekommunikasjon
- telekom
- Det
- De
- Filippinene
- verden
- deres
- Dem
- deretter
- de
- tror
- denne
- trussel
- tre
- til
- i dag
- i morgen
- Sporing
- Trojan
- enhet
- us
- Brukere
- utnytte
- variant
- Ve
- Verizon
- versjon
- veldig
- ofre
- seier
- Vietnam
- vente
- var
- overvåket
- Vei..
- we
- web
- VI VIL
- var
- når
- hvilken
- vinduer
- med
- verden
- skrive
- Din
- zephyrnet
