Após um breve hiato, o Alloy Taurus APT (também conhecido como Gallium ou Operation Soft Cell) está de volta à cena, com uma nova variante Linux de seu malware PingPull.
Alloy Taurus é um Ator de ameaça afiliado a estado-nação chinês, desde pelo menos 2012, mas apenas no centro das atenções desde 2019. Ele se concentra na espionagem e é mais conhecido por ter como alvo os principais provedores de telecomunicações.
Em uma postagem de blog em junho passado, Palo Alto Networks' A Unidade 42 publicou detalhes sobre o original, versão do Windows do PingPull. Era um Trojan de acesso remoto (RAT) baseado em Visual C++, que permitia ao seu proprietário executar comandos e acessar um shell reverso em um computador de destino comprometido.
A liga Taurus sofreu um golpe no segundo semestre de 2022, mas agora está de volta na íntegra. “Eles gravaram a versão do Windows do PingPull”, explica Pete Renals, pesquisador principal da Unidade 42, “e criaram um novo recurso que demonstra algum grau de experiência ao mudar para uma variante diferente”.
A variante do Linux se sobrepõe amplamente ao seu ancestral do Windows, permitindo que os invasores listem, leiam, gravem, copiem, renomeiem e excluam arquivos, bem como executem comandos. Curiosamente, o PingPull também compartilha algumas funções, parâmetros HTTP e manipuladores de comandos com o shell da Web do China Chopper infamemente implantado em os ataques de 2021 contra servidores Microsoft Exchange.
A Queda da Liga Touro
A Alloy Taurus entrou em cena em 2018–2019, com campanhas ousadas de espionagem contra os principais provedores de telecomunicações em todo o mundo. Como Cybereason explicado em sua postagem de blog em junho de 2019, “o agente da ameaça estava tentando roubar todos os dados armazenados no diretório ativo, comprometendo todos os nomes de usuário e senhas da organização, juntamente com outras informações de identificação pessoal, dados de cobrança, registros de detalhes de chamadas , credenciais, servidores de e-mail, geolocalização de usuários e muito mais.”
Mesmo quando comparado com outros APTs estaduais chineses, é “bastante maduro e bastante sério”, avalia a Renals. “A capacidade de entrar em uma AT&T, Verizon ou Deutsche Telekom, ficar quieto e alterar as configurações do roteador requer um certo grau de especialização. Esse não é o seu time universitário júnior de forma alguma.
Mas o Alloy Taurus não era invulnerável, como os pesquisadores descobriram recentemente.
O grupo estava voando alto no final de 2021 e início de 2022, utilizando seu PingPull Windows RAT em várias campanhas, observou a Unidade 42 em sua postagem no blog de junho. Ele visava as telecomunicações, mas também organizações militares e governamentais, localizadas no Afeganistão, Austrália, Bélgica, Camboja, Malásia, Moçambique, Filipinas, Rússia e Vietnã.
Então, “apenas três a cinco dias depois de publicarmos em junho, vimos eles abandonarem toda a infraestrutura que foi abordada no relatório”, diz Renals. “Eles mudaram tudo para apontar para um governo específico e o Sudeste Asiático – para que todos os implantes de sinalização e todas as vítimas fossem redirecionados para outro país – e basicamente limparam tudo de suas mãos.”
O Retorno de Alloy Touro
Alloy Taurus não havia desaparecido completamente, mas certamente havia recuado. “Eles viviam da terra”, explica Renals. “Algumas das principais infraestruturas de upstream permaneceram abertas e em execução.”
A vitória durou pouco quando, em dezembro, os pesquisadores detectaram novos sinais de vida. E em março, eles capturaram uma amostra Linux do antigo malware PingPull. “Isso mostra a capacidade de um APT maduro para responder e se ajustar muito rapidamente”, diz Renals.
O fato de os APTs poderem retornar com tanta facilidade em novas formas representa um enigma para os defensores cibernéticos. Como alguém se protege contra um grupo como o Alloy Taurus hoje, se ele pode simplesmente voltar usando uma nova maquiagem amanhã?
“Acho que os dias de rastreamento de indicadores específicos de comprometimento (IoCs) ficaram para trás”, diz Renals. “Agora é mais sobre rastrear as técnicas e as táticas, e ter a análise comportamental para detectar esse tipo de atividade. É aí que estamos mudando o endpoint, é onde também estamos mudando a segurança da rede.”
Descobrir o novo PingPull, ele acredita, é um exemplo dessa melhor maneira de descobrir APTs sofisticados. “Com a variante do Linux, inicialmente podemos tê-la classificado como benigna. E então olhamos para ele e dissemos: 'Ei, espere um minuto. Isso tem características muito semelhantes a outra coisa maliciosa. Vamos pedir a um humano que dê uma olhada nisso. Então, ter essa capacidade é essencial.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
- Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
- Fonte: https://www.darkreading.com/endpoint/linux-chinese-apt-alloy-taurus-back-retooling
- :tem
- :é
- :não
- :onde
- $UP
- 2012
- 2019
- 2021
- 2022
- 7
- a
- habilidade
- Sobre
- Acesso
- ativo
- atividade
- AFEGANISTÃO
- Depois de
- contra
- aka
- Todos os Produtos
- Permitindo
- Liga
- juntamente
- tb
- an
- analítica
- e
- Outro
- qualquer
- APT
- SOMOS
- por aí
- AS
- Ásia
- At
- AT & T
- Ataques
- tentando
- Australia
- em caminho duplo
- Basicamente
- atrás
- Bélgica
- acredita
- MELHOR
- Melhor
- morada
- Blog
- pino
- queimado
- mas a
- chamada
- Cambodja
- Campanhas
- CAN
- casas
- certo
- certamente
- alterar
- características
- China
- chinês
- comparado
- compromisso
- Comprometido
- comprometendo
- computador
- núcleo
- país
- coberto
- Credenciais
- cibernético
- dados,
- dias
- Dezembro
- Defensores
- Grau
- demonstra
- implantado
- detalhe
- detalhes
- DEUTSCHE TELECOM
- diferente
- descoberto
- parece
- Cedo
- habilitado
- Ponto final
- inteiramente
- espionagem
- essencial
- Cada
- tudo
- exchange
- experiência
- Explica
- bastante
- Cair
- Arquivos
- Vôo
- concentra-se
- Escolha
- formulário
- formas
- funções
- ter
- Go
- Governo
- Grupo
- tinha
- Metade
- mãos
- Ter
- ter
- he
- Alta
- Acertar
- Como funciona o dobrador de carta de canal
- http
- HTTPS
- humano
- i
- if
- in
- indicadores
- INFORMAÇÕES
- Infraestrutura
- inicialmente
- para dentro
- IT
- ESTÁ
- jpg
- Junho
- Tipo
- conhecido
- Terreno
- largamente
- Sobrenome
- Atrasado
- deixar
- vida
- como
- linux
- Lista
- vida
- localizado
- olhar
- olhou
- Baixo
- principal
- maquiagem
- Malaysia
- malwares
- Março
- maduro
- Posso..
- Microsoft
- Militar
- minuto
- mais
- Moçambique
- múltiplo
- rede
- Rede de Segurança
- redes
- Novo
- notado
- agora
- of
- WOW!
- Velho
- on
- ONE
- só
- aberto
- operação
- or
- organização
- organizações
- Outros
- Fora
- Palo Alto
- parâmetros
- Senha
- Pessoalmente
- Filipinas
- escolhido
- platão
- Inteligência de Dados Platão
- PlatãoData
- ponto
- Publique
- presentes
- Diretor
- proteger
- fornecedores
- publicado
- rapidamente
- RAT
- RE
- Leia
- recentemente
- registros
- permaneceu
- remoto
- acesso remoto
- Denunciar
- exige
- investigador
- pesquisadores
- Responder
- retorno
- reverso
- roteador
- Execute
- corrida
- Rússia
- s
- Dito
- diz
- cena
- Segundo
- segurança
- grave
- Servidores
- Shape
- ações
- concha
- mudança
- MUDANÇA
- Shows
- Sinais
- semelhante
- simplesmente
- desde
- solteiro
- So
- Suave
- alguns
- algo
- sofisticado
- Sudeste da Ásia
- específico
- Holofote
- girou
- armazenadas
- tática
- Target
- visadas
- alvejando
- Touro
- Profissionais
- técnicas
- telecomunicações
- telecomunicações
- que
- A
- As Filipinas
- o mundo
- deles
- Eles
- então
- deles
- think
- isto
- ameaça
- três
- para
- hoje
- amanhã
- Rastreamento
- troiano
- unidade
- us
- usuários
- Utilizando
- Variante
- Ve
- Verizon
- versão
- muito
- vítimas
- vitória
- Vietnã
- esperar
- foi
- Assistidos
- Caminho..
- we
- web
- BEM
- foram
- quando
- qual
- Windows
- de
- mundo
- escrever
- investimentos
- zefirnet
