Grupe za cyber špijunažu povezane su s dugotrajnom kampanjom koja je infiltrirala nekoliko telekom operatera smještenih u jednoj azijskoj zemlji barem od 2021.
„Napadači su postavili backdoor na mreže ciljanih kompanija i pokušali da ukradu akreditive“, navodi Symantec Threat Hunter Team, dio Broadcoma, u izvještaju podijeljenom za The Hacker News.
Firma za cyber sigurnost nije otkrila koja je zemlja bila meta, ali je rekla da je pronašla dokaze koji sugerišu da je zlonamjerna cyber aktivnost možda počela još 2020. godine.
Napadi su takođe bili usmjereni na neimenovanu uslužnu kompaniju koja je opsluživala sektor telekomunikacija i univerzitet u drugoj azijskoj zemlji, dodaje se.
Izbor alata korištenih u ovoj kampanji preklapa se s drugim misijama koje su provodile kineske špijunske grupe poput Mustang Panda (aka Earth Preta i Fireant), RedFoxtrot (aka Neeedleminer i Nomad Panda) i Naikon (aka Firefly) posljednjih godina.
Ovo uključuje prilagođena pozadinska vrata praćena kao COOLCLIENT, QuickHeal i RainyDay koja dolaze opremljena mogućnostima za hvatanje osjetljivih podataka i uspostavljanje komunikacije sa serverom za komandu i kontrolu (C2).
Iako je tačan početni pristupni put korišten za probijanje ciljeva trenutno nepoznat, kampanja je takođe značajna po implementaciji alata za skeniranje portova i krađi akreditiva kroz bacanje košnica Windows Registry .
Činjenica da alat ima veze s tri različita suparnička kolektiva otvorila je nekoliko mogućnosti: Napadi se sprovode nezavisno jedan od drugog, jedan haker koristi alate nabavljen od drugih grupa, ili različiti hakeri sarađuju u jednoj kampanji.
U ovoj fazi takođe je nejasan primarni motiv upada, iako kineski hakeri imaju istoriju ciljanja na sektor telekomunikacija širom svjeta.
U novembru 2023., Kaspersky je otkrio ShadowPad zlonamjernu kampanju usmjerenu na jednu od nacionalnih telekomunikacijskih kompanija Pakistana iskorištavanjem poznatih sigurnosnih propusta u Microsoft Exchange Serveru ( CVE-2021-26855 aka ProxyLogon).
“Napadači su možda prikupljali obavještajne podatke o sektoru telekomunikacija u toj zemlji”, pretpostavio je Symantec. “Prisluškivanje je još jedna mogućnost. Alternativno, napadači su možda pokušavali da izgrade ometajuću sposobnost protiv kritične infrastrukture u toj zemlji.”
Izvor:The Hacker News