Setelah jeda singkat, Alloy Taurus APT (alias Gallium atau Operasi Soft Cell) kembali hadir, dengan varian Linux baru dari malware PingPull-nya.
Paduan Taurus adalah Aktor ancaman yang berafiliasi dengan negara-bangsa Tiongkok, sekitar setidaknya sejak 2012 tetapi hanya menjadi sorotan sejak 2019. Ini berfokus pada spionase, dan terkenal karena menargetkan penyedia telekomunikasi besar.
Dalam posting blog Juni lalu, Palo Alto Networks ' Unit 42 menerbitkan detail dari aslinya, PingPull versi Windows. Itu adalah Trojan akses jarak jauh (RAT) berbasis Visual C++, yang memungkinkan pemiliknya untuk menjalankan perintah dan mengakses shell terbalik pada komputer target yang disusupi.
Paduan Taurus terpukul di paruh kedua tahun 2022, tapi sekarang sudah kembali utuh. “Mereka membakar PingPull versi Windows,” jelas Pete Renals, peneliti utama di Unit 42, “dan mereka telah mengembangkan kemampuan baru yang menunjukkan beberapa tingkat keahlian beralih ke varian yang berbeda.”
Varian Linux sebagian besar tumpang tindih dengan leluhur Windows-nya, memungkinkan penyerang untuk membuat daftar, membaca, menulis, menyalin, mengganti nama, dan menghapus file, serta menjalankan perintah. Menariknya, PingPull juga berbagi beberapa fungsi, parameter HTTP, dan penangan perintah shell Web Chopper Cina dikerahkan secara kejam serangan 2021 terhadap Microsoft Exchange Server.
Kejatuhan Paduan Taurus
Alloy Taurus muncul pada tahun 2018–2019, dengan kampanye spionase yang berani melawan penyedia telekomunikasi besar di seluruh dunia. Sebagai Cybereason menjelaskan dalam postingan blognya pada Juni 2019, “aktor ancaman berusaha mencuri semua data yang disimpan di direktori aktif, mengkompromikan setiap nama pengguna dan kata sandi dalam organisasi, bersama dengan informasi identitas pribadi lainnya, data tagihan, catatan detail panggilan , kredensial, server email, geolokasi pengguna, dan lainnya.”
Bahkan jika dibandingkan dengan APT tingkat negara bagian China lainnya, ini “cukup matang dan cukup serius,” Renals menilai. “Kemampuan untuk masuk ke AT&T atau Verizon atau Deutsche Telekom, berbaring, dan mengubah konfigurasi router, memerlukan tingkat keahlian tertentu. Itu bukan tim universitas junior Anda dengan cara, bentuk, atau bentuk apa pun.
Tapi Alloy Taurus tidak kebal, seperti yang baru-baru ini ditemukan para peneliti.
Grup tersebut terbang tinggi pada akhir 2021 dan awal 2022, memanfaatkan PingPull Windows RAT dalam beberapa kampanye, catat Unit 42 dalam postingan blog bulan Juni. Itu menargetkan telekomunikasi tetapi juga organisasi militer dan pemerintah, yang berlokasi di Afghanistan, Australia, Belgia, Kamboja, Malaysia, Mozambik, Filipina, Rusia dan Vietnam.
Kemudian, “hanya tiga sampai lima hari setelah kami menerbitkan di bulan Juni, kami melihat mereka meninggalkan semua infrastruktur mereka yang tercakup dalam laporan tersebut,” kata Renals. “Mereka mengubah segalanya untuk menunjuk ke pemerintah tertentu dan Asia Tenggara — sehingga semua implan suar dan semua korban dialihkan ke negara lain — dan pada dasarnya mereka menghapus semua itu dari tangan mereka.”
Kembalinya Paduan Taurus
Paduan Taurus belum sepenuhnya menghilang, tapi pasti mundur. “Mereka hidup dari tanah,” jelas Renals. “Beberapa infrastruktur hulu inti tetap terbuka dan berjalan.”
Kemenangan itu berumur pendek ketika, pada bulan Desember, para peneliti menemukan tanda-tanda kehidupan baru. Dan pada bulan Maret, mereka mengambil sampel Linux dari malware lama PingPull. “Ini menunjukkan kemampuan APT yang matang untuk merespons dan menyesuaikan diri dengan sangat cepat,” kata Renals.
Bahwa APT dapat dengan mudah kembali dalam bentuk baru menimbulkan teka-teki bagi para pembela dunia maya. Bagaimana seseorang melindungi dari grup seperti Alloy Taurus hari ini, jika ia dapat kembali mengenakan riasan baru besok?
“Saya pikir hari-hari pelacakan indikator kompromi tertentu (IoC) sebagian besar sudah berlalu,” kata Renals. “Sekarang ini lebih tentang melacak teknik dan taktik, dan memiliki analitik perilaku untuk mendeteksi aktivitas semacam itu. Di situlah kami menggeser titik akhir, di situlah kami juga mengubah keamanan jaringan.”
Menemukan PingPull baru, dia percaya, adalah contoh kasus untuk cara yang lebih baik dalam memilah-milah APT yang canggih. “Dengan varian Linux, awalnya kami mungkin telah melakukan triase sebagai tidak berbahaya. Dan kemudian kami melihatnya dan berkata: 'Hei, tunggu sebentar. Ini memiliki karakteristik yang sangat mirip dengan hal lain yang berbahaya. Mari kita minta manusia untuk melihat ini.' Jadi, memiliki kemampuan itu sangat penting.”
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
- Sumber: https://www.darkreading.com/endpoint/linux-chinese-apt-alloy-taurus-back-retooling
- :memiliki
- :adalah
- :bukan
- :Di mana
- $NAIK
- 2012
- 2019
- 2021
- 2022
- a
- kemampuan
- Tentang Kami
- mengakses
- aktif
- Active Directory
- kegiatan
- AFGHANISTAN
- Setelah
- terhadap
- Semua
- Membiarkan
- Campuran
- sepanjang
- juga
- an
- analisis
- dan
- Lain
- Apa pun
- APT
- ADALAH
- sekitar
- AS
- Asia
- At
- AT & T
- Serangan
- berusaha
- Australia
- kembali
- Pada dasarnya
- di belakang
- Belgia
- percaya
- TERBAIK
- Lebih baik
- penagihan
- Blog
- pin
- dibakar
- tapi
- panggilan
- Kamboja
- Kampanye
- CAN
- kasus
- tertentu
- Pasti
- perubahan
- karakteristik
- Tiongkok
- Cina
- dibandingkan
- kompromi
- Dikompromikan
- kompromi
- komputer
- Core
- negara
- tercakup
- Surat kepercayaan
- maya
- data
- Hari
- Desember
- Pembela
- Derajat
- menunjukkan
- dikerahkan
- rinci
- rincian
- TELEKOMUNIKASI DEUTSCHE
- berbeda
- ditemukan
- tidak
- Awal
- diaktifkan
- Titik akhir
- sepenuhnya
- spionase
- penting
- Eter (ETH)
- Setiap
- segala sesuatu
- Pasar Valas
- keahlian
- Menjelaskan
- hampir
- Jatuh
- File
- penerbangan
- berfokus
- Untuk
- bentuk
- bentuk
- fungsi
- mendapatkan
- Go
- Pemerintah
- Kelompok
- memiliki
- Setengah
- tangan
- Memiliki
- memiliki
- he
- High
- Memukul
- Seterpercayaapakah Olymp Trade? Kesimpulan
- http
- HTTPS
- manusia
- i
- if
- in
- indikator
- informasi
- Infrastruktur
- mulanya
- ke
- IT
- NYA
- jpg
- Juni
- Jenis
- dikenal
- Tanah
- sebagian besar
- Terakhir
- Terlambat
- Hidup
- 'like'
- linux
- Daftar
- hidup
- terletak
- melihat
- tampak
- Rendah
- utama
- rias
- Malaysia
- malware
- March
- dewasa
- Mungkin..
- Microsoft
- Militer
- menit
- lebih
- Mozambik
- beberapa
- jaringan
- Keamanan jaringan
- jaringan
- New
- terkenal
- sekarang
- of
- lepas
- Tua
- on
- ONE
- hanya
- Buka
- operasi
- or
- organisasi
- organisasi
- Lainnya
- di luar
- Palo Alto
- parameter
- Kata Sandi
- Sendiri
- Pilipina
- terpilih
- plato
- Kecerdasan Data Plato
- Data Plato
- Titik
- Pos
- hadiah
- Utama
- melindungi
- penyedia
- diterbitkan
- segera
- TIKUS
- RE
- Baca
- baru-baru ini
- arsip
- tetap
- terpencil
- Remote Access
- melaporkan
- membutuhkan
- peneliti
- peneliti
- Menanggapi
- kembali
- membalikkan
- router
- Run
- berjalan
- Rusia
- s
- Tersebut
- mengatakan
- adegan
- Kedua
- keamanan
- serius
- Bentuknya
- saham
- Kulit
- bergeser
- PERGESERAN
- Pertunjukkan
- Tanda
- mirip
- hanya
- sejak
- tunggal
- So
- Lunak
- beberapa
- sesuatu
- mutakhir
- Asia Tenggara
- tertentu
- lampu sorot
- pintal
- tersimpan
- taktik
- target
- ditargetkan
- penargetan
- Taurus
- tim
- teknik
- telekomunikasi
- telekomunikasi
- bahwa
- Grafik
- Filipina
- Dunia
- mereka
- Mereka
- kemudian
- mereka
- berpikir
- ini
- ancaman
- tiga
- untuk
- hari ini
- besok
- Pelacakan
- Trojan
- satuan
- us
- Pengguna
- Memanfaatkan
- Varian
- Ve
- Verizon
- versi
- sangat
- korban
- kemenangan
- Vietnam
- menunggu
- adalah
- Cara..
- we
- jaringan
- BAIK
- adalah
- ketika
- yang
- Windows
- dengan
- dunia
- menulis
- Anda
- zephyrnet.dll
