Linux Shift：中国 APT Alloy Taurus 重装回归

短暂中断后，Alloy Taurus APT（又名 Gallium 或 Operation Soft Cell）带着其 PingPull 恶意软件的新 Linux 变体重返舞台。

合金金牛座是 中国民族国家附属威胁行为者，至少从 2012 年开始，但自 2019 年以来才成为人们关注的焦点。它专注于间谍活动，并且以针对主要电信提供商而闻名。

在去年 XNUMX 月的一篇博文中，Palo Alto Networks 的 第 42 单元公布了原始细节, Windows 版本的 PingPull。 它是一种基于 Visual C++ 的远程访问特洛伊木马 (RAT)，它允许其所有者运行命令并访问受感染目标计算机上的反向 shell。

合金金牛座在2022年下半年受到冲击， 但现在它完全恢复了. “他们烧掉了 Windows 版本的 PingPull，”Unit 42 的首席研究员皮特·雷纳尔斯 (Pete Renals) 解释说，“并且他们开发了一项新功能，展示了切换到不同变体的某种程度的专业知识。”

Linux 变体在很大程度上与其 Windows 祖先重叠，允许攻击者列出、读取、写入、复制、重命名和删除文件，以及运行命令。 有趣的是，PingPull 还共享一些功能、HTTP 参数和命令处理程序 China Chopper Web shell 臭名昭著地部署在 2021 年针对 Microsoft Exchange Server 的攻击.

合金金牛座的陨落

Alloy Taurus 在 2018-2019 年间突然出现，对全球主要电信提供商进行了大胆的间谍活动。 作为 Cyber​​eason解释 在其当时于 2019 年 XNUMX 月发布的博客文章中，“威胁行为者试图窃取存储在活动目录中的所有数据，破坏组织中的每个用户名和密码，以及其他个人身份信息、账单数据、通话详细记录、凭据、电子邮件服务器、用户的地理位置等等。”

Renals 评价说，即使与其他中国国家级 APT 相比，它也“相当成熟且相当严重”。 “进入 AT&T、Verizon 或德国电信、保持低调并更改路由器配置的能力需要一定程度的专业知识。 那不是你的初级大学代表队，无论是在任何方面、形式或形式上。”

但正如研究人员最近发现的那样，Alloy Taurus 并非刀枪不入。

Unit 2021 在其 2022 月的博客文章中指出，该组织在 42 年底和 XNUMX 年初飞得很高，在多个活动中利用其 PingPull Windows RAT。 它不仅针对电信公司，还针对位于阿富汗、澳大利亚、比利时、柬埔寨、马来西亚、莫桑比克、菲律宾、俄罗斯和越南的军事和政府组织。

然后，“在我们 XNUMX 月发布后仅三到五天，我们就看到他们放弃了报告中涵盖的所有基础设施，”雷纳尔斯说。 “他们改变了一切，指向一个特定的政府和东南亚——这样所有的信标植入物和所有的受害者都被重定向到另一个国家——他们基本上擦掉了所有这些东西。”

合金金牛归来

合金金牛并没有完全消失，但它确实退却了。 “他们靠土地为生，”雷纳尔斯解释道。 “一些核心上游基础设施保持开放和运行。”

XNUMX 月，研究人员发现了新的生命迹象，但胜利是短暂的。 在 XNUMX 月，他们捕获了旧 PingPull 恶意软件的 Linux 样本。 “这表明成熟的 APT 具有非常快速的响应和调整能力，”雷纳尔斯说。

APT 可以如此毫不费力地以新形式返回，这给网络防御者带来了难题。 如果明天可以简单地带着新妆回来，那么今天如何抵御像合金金牛座这样的群体呢？

“我认为跟踪特定妥协指标 (IoC) 的日子已经一去不复返了，”雷纳斯说。 “现在更多的是跟踪技术和策略，并通过行为分析来检测这种活动。 这就是我们转移端点的地方，也是我们转移网络安全的地方。”

他认为，发现新的 PingPull 是使用这种更好的方法来发现复杂的 APT 的一个很好的例子。 “对于 Linux 变体，我们最初可能将其分类为良性。 然后我们看着它说：'嘿，等一下。 这与其他恶意软件具有非常相似的特征。 让我们去看看这个。 所以，拥有这种能力是必不可少的。”

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图爱流。 Web3 数据智能。 知识放大。 访问这里。
• 与 Adryenn Ashley 一起铸造未来。 访问这里。
• Sumber: https://www.darkreading.com/endpoint/linux-chinese-apt-alloy-taurus-back-retooling