După o scurtă pauză, Alloy Taurus APT (alias Gallium sau Operation Soft Cell) revine pe scena, cu o nouă variantă Linux a programului său malware PingPull.
Aliajul Taur este un Actor de amenințare chinez afiliat statului național, în jurul valorii de cel puțin din 2012, dar doar în centrul atenției din 2019. Se concentrează pe spionaj și este cel mai bine cunoscut pentru că vizează furnizorii importanți de telecomunicații.
Într-o postare pe blog în iunie anul trecut, Palo Alto Networks Unitatea 42 a publicat detalii pe original, versiunea pentru Windows a lui PingPull. Era un troian de acces la distanță (RAT) bazat pe Visual C++, care i-a permis proprietarului să ruleze comenzi și să acceseze un shell invers pe un computer țintă compromis.
Alloy Taurus a fost lovit în a doua jumătate a anului 2022, dar acum a revenit în întregime. „Au ars versiunea Windows a lui PingPull”, explică Pete Renals, cercetător principal la Unitatea 42, „și au creat o nouă capacitate care demonstrează un anumit grad de expertiză în trecerea la o altă variantă”.
Varianta Linux se suprapune în mare măsură cu strămoșul său Windows, permițând atacatorilor să enumere, să citească, să scrie, să copieze, să redenumească și să ștergă fișiere, precum și să execute comenzi. Interesant este că PingPull împărtășește și unele funcții, parametri HTTP și handlere de comenzi învelișul China Chopper Web desfășurat în mod infam în atacurile din 2021 împotriva serverelor Microsoft Exchange.
Căderea Taurului din aliaj
Alloy Taurus a apărut pe scenă în 2018–2019, cu campanii îndrăznețe de spionaj împotriva marilor furnizori de telecomunicații din întreaga lume. La fel de Cyberreason explicat în postarea de pe blog de atunci, din iunie 2019, „actorul amenințării încerca să fure toate datele stocate în directorul activ, compromițând fiecare nume de utilizator și parolă din organizație, împreună cu alte informații de identificare personală, date de facturare, înregistrări ale detaliilor apelurilor. , acreditări, servere de e-mail, localizare geografică a utilizatorilor și multe altele.”
Chiar și în comparație cu alte APT la nivel de stat chinez, este „destul de matur și destul de serios”, evaluează Renals. „Abilitatea de a intra într-un AT&T sau Verizon sau Deutsche Telekom, de a vă lăsa jos și de a schimba configurațiile routerului necesită un anumit grad de expertiză. Aceasta nu este echipa ta de juniori în nici un fel, formă sau formă.”
Dar Alloy Taurus nu a fost invulnerabil, așa cum au descoperit recent cercetătorii.
Grupul a zburat sus la sfârșitul lui 2021 și începutul lui 2022, utilizând PingPull Windows RAT în mai multe campanii, a menționat Unitatea 42 în postarea sa pe blog din iunie. A vizat telecomunicații, dar și organizații militare și guvernamentale, situate în Afganistan, Australia, Belgia, Cambodgia, Malaezia, Mozambic, Filipine, Rusia și Vietnam.
Apoi, „la doar trei până la cinci zile după ce am publicat în iunie, i-am urmărit abandonând toată infrastructura care era acoperită în raport”, spune Renals. „Au schimbat totul pentru a indica un anumit guvern și Asia de Sud-Est – astfel încât toate implanturile de semnalizare și toate victimele să fie redirecționate către o altă țară – și practic și-au șters mâinile de toate acestea.”
Întoarcerea Taurului din aliaj
Alloy Taurus nu dispăruse în întregime, dar cu siguranță se retrăsese. „Trăiau din pământ”, explică Renals. „Unele dintre infrastructurile de bază din amonte au rămas deschise și funcționale.”
Victoria a fost de scurtă durată când, în decembrie, cercetătorii au descoperit noi semne de viață. Și în martie, au capturat un eșantion Linux din vechiul malware PingPull. „Demonstrează capacitatea unui APT matur de a răspunde și de a se adapta foarte repede”, spune Renals.
Faptul că APT-urile se pot întoarce atât de ușor în forme noi, reprezintă o enigmă pentru apărătorii cibernetici. Cum se poate proteja astăzi împotriva unui grup precum Alloy Taurus, dacă mâine se poate întoarce pur și simplu purtând machiaj nou?
„Cred că zilele de urmărire a indicatorilor specifici de compromis (IoC) sunt în mare parte în urmă”, spune Renals. „Acum este mai mult despre urmărirea tehnicilor și tacticilor și a analizei comportamentale pentru a detecta acest tip de activitate. Acolo schimbăm punctul final, acolo schimbăm și securitatea rețelei.”
Descoperirea noului PingPull, crede el, este un exemplu pentru acest mod mai bun de a găsi APT-uri sofisticate. „Cu varianta Linux, este posibil să fi considerat inițial benign. Și apoi ne-am uitat la ea și am spus: „Hei, așteaptă puțin. Acest lucru are caracteristici foarte asemănătoare cu altceva care este rău intenționat. Să punem un om să se uite la asta. Deci, a avea această capacitate este esențială.”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoAiStream. Web3 Data Intelligence. Cunoștințe amplificate. Accesați Aici.
- Mintând viitorul cu Adryenn Ashley. Accesați Aici.
- Sursa: https://www.darkreading.com/endpoint/linux-chinese-apt-alloy-taurus-back-retooling
- :are
- :este
- :nu
- :Unde
- $UP
- 2012
- 2019
- 2021
- 2022
- a
- capacitate
- Despre Noi
- acces
- activ
- Active Directory
- activitate
- AFGANISTAN
- După
- împotriva
- TOATE
- Permiterea
- Aliaj
- de-a lungul
- de asemenea
- an
- Google Analytics
- și
- O alta
- Orice
- APT
- SUNT
- în jurul
- AS
- Asia
- At
- AT & T
- Atacuri
- încercarea
- Australia
- înapoi
- Pe scurt
- în spatele
- Belgia
- consideră că
- CEL MAI BUN
- Mai bine
- facturare
- Blog
- ars
- dar
- apel
- Cambogia
- Campanii
- CAN
- caz
- sigur
- cu siguranță
- Schimbare
- Caracteristici
- China
- chinez
- comparație
- compromis
- compromis
- compromisor
- calculator
- Nucleu
- ţară
- acoperit
- scrisori de acreditare
- Cyber
- de date
- Zi
- decembrie
- apărătorii
- Grad
- demonstrează
- dislocate
- detaliu
- detalii
- DEUTSCHE TELECOM
- diferit
- a descoperit
- face
- Devreme
- activat
- Punct final
- în întregime
- spionaj
- esenţial
- Eter (ETH)
- Fiecare
- tot
- schimb
- expertiză
- explică
- destul de
- Cădea
- Fişiere
- care zboară
- se concentrează
- Pentru
- formă
- formulare
- funcții
- obține
- Go
- Guvern
- grup
- HAD
- Jumătate
- mâini
- Avea
- având în
- he
- Înalt
- Lovit
- Cum
- http
- HTTPS
- uman
- i
- if
- in
- Indicatorii
- informații
- Infrastructură
- inițial
- în
- IT
- ESTE
- jpg
- iunie
- Copil
- cunoscut
- Țară
- în mare măsură
- Nume
- Târziu
- Viaţă
- ca
- linux
- Listă
- viaţă
- situat
- Uite
- uitat
- Jos
- major
- machiaj
- Malaezia
- malware
- Martie
- matur
- Mai..
- Microsoft
- Militar
- minut
- mai mult
- Mozambic
- multiplu
- reţea
- Securitatea rețelei
- rețele
- Nou
- notat
- acum
- of
- de pe
- Vechi
- on
- ONE
- afară
- deschide
- operaţie
- or
- organizație
- organizații
- Altele
- afară
- Palo Alto
- parametrii
- Parolă
- Personal
- Filipine
- ales
- Plato
- Informații despre date Platon
- PlatoData
- Punct
- Post
- cadouri
- Principal
- proteja
- furnizori
- publicat
- repede
- ŞOBOLAN
- RE
- Citeste
- recent
- înregistrări
- a ramas
- la distanta
- acces de la distanță
- raportează
- Necesită
- cercetător
- cercetători
- Răspunde
- reveni
- inversa
- router
- Alerga
- funcţionare
- Rusia
- s
- Said
- spune
- scenă
- Al doilea
- securitate
- serios
- Modela
- Acțiuni
- Coajă
- schimbare
- SCHIMBARE
- Emisiuni
- Semne
- asemănător
- pur şi simplu
- întrucât
- singur
- So
- Moale
- unele
- ceva
- sofisticat
- Asia de Sud-Est
- specific
- Reflector
- tors
- stocate
- tactică
- Ţintă
- vizate
- direcționare
- Taurul
- echipă
- tehnici de
- de telecomunicaţii
- în domeniul telecomunicațiilor
- acea
- Filipine
- lumea
- lor
- Lor
- apoi
- ei
- crede
- acest
- amenințare
- trei
- la
- astăzi
- mâine
- Urmărire
- troian
- unitate
- us
- utilizatorii
- Utilizand
- Variantă
- Ve
- Verizon
- versiune
- foarte
- victime
- victorie
- Vietnam
- aștepta
- a fost
- Cale..
- we
- web
- BINE
- au fost
- cand
- care
- ferestre
- cu
- lume
- scrie
- Ta
- zephyrnet
