Efter ett kort uppehåll är Alloy Taurus APT (alias Gallium eller Operation Soft Cell) tillbaka på scenen, med en ny Linux-variant av sin PingPull malware.
Alloy Taurus är en Kinesisk nationalstatsansluten hotaktör, runt sedan åtminstone 2012 men bara i rampljuset sedan 2019. Den fokuserar på spionage, och är mest känd för att rikta in sig på stora telekommunikationsleverantörer.
I ett blogginlägg i juni förra året skrev Palo Alto Networks Enhet 42 publicerade detaljer om originalet, Windows-versionen av PingPull. Det var en Visual C++-baserad trojan för fjärråtkomst (RAT), som gjorde det möjligt för dess ägare att köra kommandon och komma åt ett omvänt skal på en utsatt måldator.
Alloy Taurus fick en träff under andra halvan av 2022, men nu är den tillbaka i sin helhet. "De brände Windows-versionen av PingPull," förklarar Pete Renals, huvudforskare vid Unit 42, "och de har skapat en ny förmåga som visar en viss grad av expertis när de byter till en annan variant."
Linux-varianten överlappar till stor del sin Windows-förfader, vilket gör att angriparna kan lista, läsa, skriva, kopiera, byta namn på och ta bort filer, samt köra kommandon. Intressant nog delar PingPull också vissa funktioner, HTTP-parametrar och kommandohanterare med China Chopper Web-skalet ökänt utplacerad i 2021-attackerna mot Microsoft Exchange-servrar.
Fallet av legering Oxen
Alloy Taurus kom in på scenen 2018–2019, med djärva spionagekampanjer mot stora telekommunikationsleverantörer runt om i världen. Som Cybereason förklarade i sitt då brytande blogginlägg i juni 2019, "försökte hotaktören stjäla all data som lagrats i den aktiva katalogen och äventyra varje enskilt användarnamn och lösenord i organisationen, tillsammans med annan personligt identifierbar information, faktureringsdata, samtalsdetaljer , referenser, e-postservrar, geolokalisering av användare och mer.”
Även jämfört med andra kinesiska statliga APT:er är det "ganska mogen och ganska allvarligt", bedömer Renals. "Förmågan att komma in i en AT&T eller Verizon eller Deutsche Telekom, ligga lågt och ändra routerkonfigurationer kräver en viss grad av expertis. Det är inte ditt juniorlag på något sätt, form eller form.”
Men Alloy Taurus var inte osårbar, som forskare nyligen upptäckte.
Gruppen flög högt i slutet av 2021 och början av 2022 och använde sin PingPull Windows RAT i flera kampanjer, noterade Unit 42 i sitt blogginlägg i juni. Den riktade sig till telekom men även militära och statliga organisationer, som finns i Afghanistan, Australien, Belgien, Kambodja, Malaysia, Moçambique, Filippinerna, Ryssland och Vietnam.
Sedan, "bara tre till fem dagar efter att vi publicerade i juni, såg vi dem överge all sin infrastruktur som täcktes i rapporten", säger Renals. "De ändrade allt för att peka mot en specifik regering och Sydostasien - så att alla ledstjärnaimplantat och alla offer omdirigerades till ett annat land - och de torkade i princip sina händer på allt."
Alloy Taurus återkomst
Alloy Taurus hade inte försvunnit helt, men den hade verkligen dragit sig tillbaka. "De levde av landet," förklarar Renals. "En del av kärninfrastrukturen uppströms förblev öppen och igång."
Segern blev kortvarig när forskarna i december fick koll på nya livstecken. Och i mars fångade de ett Linux-prov av den gamla PingPull-skadliga programvaran. "Det visar en mogen APT:s förmåga att svara och justera mycket snabbt," säger Renals.
Att APT så enkelt kan återvända i nya former utgör en gåta för cyberförsvarare. Hur skyddar man sig mot en grupp som Alloy Taurus idag, om den helt enkelt kan återvända med nytt smink imorgon?
"Jag tror att dagarna för att spåra specifika kompromissindikatorer (IoC) till stor del ligger bakom oss", säger Renals. "Nu handlar det mer om att spåra teknikerna och taktiken, och att ha beteendeanalyser för att upptäcka den typen av aktivitet. Det är där vi flyttar slutpunkten, det är där vi också flyttar nätverkssäkerhet.”
Att upptäcka den nya PingPull, tror han, är ett exempel på detta bättre sätt att få fram sofistikerade APT:er. "Med Linux-varianten kan vi initialt ha triagerat den som godartad. Och sedan tittade vi på det och sa: 'Hej, vänta lite. Detta har mycket liknande egenskaper som något annat som är skadligt. Låt oss få en människa att titta på det här.' Så det är viktigt att ha den förmågan."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoAiStream. Web3 Data Intelligence. Kunskap förstärkt. Tillgång här.
- Minting the Future med Adryenn Ashley. Tillgång här.
- Källa: https://www.darkreading.com/endpoint/linux-chinese-apt-alloy-taurus-back-retooling
- : har
- :är
- :inte
- :var
- $UPP
- 2012
- 2019
- 2021
- 2022
- 7
- a
- förmåga
- Om Oss
- tillgång
- aktiv
- aktivitet
- AFGHANISTAN
- Efter
- mot
- aka
- Alla
- tillåta
- Legering
- längs
- också
- an
- analytics
- och
- Annan
- vilken som helst
- APT
- ÄR
- runt
- AS
- asien
- At
- AT & T
- Attacker
- försök
- Australien
- tillbaka
- I grund och botten
- bakom
- Belgien
- tror
- BÄST
- Bättre
- fakturering
- Blogg
- nål
- bränd
- men
- Ring
- Kambodja
- Kampanjer
- KAN
- Vid
- vissa
- säkerligen
- byta
- egenskaper
- Kina
- kinesisk
- jämfört
- kompromiss
- Äventyras
- komprometterande
- dator
- Kärna
- land
- omfattas
- referenser
- cyber
- datum
- Dagar
- December
- Försvararna
- Examen
- demonstrerar
- utplacerade
- detalj
- detaljer
- DEUTSCHE TELECOM
- olika
- upptäckt
- gör
- Tidig
- aktiverad
- Slutpunkt
- helt
- spionage
- väsentlig
- Varje
- allt
- utbyta
- expertis
- Förklarar
- ganska
- Höst
- Filer
- flygande
- fokuserar
- För
- formen
- former
- funktioner
- skaffa sig
- Go
- Regeringen
- Grupp
- hade
- Hälften
- händer
- Har
- har
- he
- Hög
- Träffa
- Hur ser din drömresa ut
- http
- HTTPS
- humant
- i
- if
- in
- indikatorer
- informationen
- Infrastruktur
- initialt
- in
- IT
- DESS
- jpg
- juni
- Snäll
- känd
- land
- till stor del
- Efternamn
- Sent
- Låt
- livet
- tycka om
- linux
- Lista
- levande
- belägen
- se
- såg
- Låg
- större
- smink
- Malaysia
- malware
- Mars
- mogen
- Maj..
- Microsoft
- Militär
- minut
- mer
- Moçambique
- multipel
- nät
- Nätverkssäkerhet
- nätverk
- Nya
- noterade
- nu
- of
- sänkt
- Gamla
- on
- ONE
- endast
- öppet
- drift
- or
- organisation
- organisationer
- Övriga
- ut
- Palo Alto
- parametrar
- Lösenord
- Personligen
- filippinerna
- plockade
- plato
- Platon Data Intelligence
- PlatonData
- Punkt
- Inlägg
- presenterar
- Principal
- skydda
- leverantörer
- publicerade
- snabbt
- RÅTTA
- RE
- Läsa
- nyligen
- register
- förblev
- avlägsen
- fjärråtkomst
- rapport
- Kräver
- forskaren
- forskare
- Svara
- avkastning
- vända
- router
- Körning
- rinnande
- Ryssland
- s
- Nämnda
- säger
- scen
- Andra
- säkerhet
- allvarlig
- Servrar
- Forma
- aktier
- Shell
- skifta
- SKIFTANDE
- Visar
- Tecken
- liknande
- helt enkelt
- eftersom
- enda
- So
- Mjuk
- några
- något
- sofistikerade
- Sydostasien
- specifik
- Spotlight
- spunnen
- lagras
- taktik
- Målet
- riktade
- targeting
- Taurus
- grupp
- tekniker
- telekommunikationer
- telekom
- den där
- Smakämnen
- Filippinerna
- världen
- deras
- Dem
- sedan
- de
- tror
- detta
- hot
- tre
- till
- i dag
- i morgon
- Spårning
- Trojan
- enhet
- us
- användare
- Använda
- Variant
- Ve
- verizon
- version
- mycket
- offer
- seger
- Vietnam
- vänta
- var
- Betraktade
- Sätt..
- we
- webb
- VÄL
- były
- när
- som
- fönster
- med
- världen
- skriva
- Din
- zephyrnet
