Istraživači kibernetičke sigurnosti u Natto Thoughts nedavno su otkrili da kineski hakeri aktivno zloupotrebljavaju alate otvorenog koda kao što je Nmap za pokretanje sajber napada.
Nmap (Network Mapper) je besplatni mrežni skener otvorenog koda koji je kreirao Gordon Lyon. Ovaj alat za mrežni skener se koristi za otkrivanje hostova i usluga na računarskoj mreži slanjem paketa i analizom odgovora.
Grupe prijetnji koje sponzoriše kineska država, kao što su APT41 , APT10 (aka menuPass, Stone Panda, POTASSIUM), GALLIUM (tzv. Granite Typhoon), Stately Taurus (aka Mustang Panda), APT40 (aka TA423, Red Ladon, BRONZE MOHAWK, Gingham Typhoon ) uvijek posvećuju dobro planiranu pažnju aspektu izviđanja, tehnikama i alatima u svojim sajber operacijama.
Oni uveliko koriste uslužne programe za mrežno skeniranje kao što su Nmap i NBTscan za obavljanje traženja i lociranja ranjivih ciljeva.
NBTscan koristi TCP/IP za skeniranje i pretraživanje kroz računarsku mrežu, posebno za informacije o NetBIOS nazivu. Zatim takođe daje IP adresu, NetBIOS ime računara, trenutnu prijavu i MAC adresu.
Tehnička analiza
APT40 koristi ScanBox okvir za izviđanje u phishing kampanjama, prilagođavajući ga tako da se lažno predstavlja za web stranice s vijestima.
Ovi akteri prijetnji ciljaju različite sektore, uključujući telekomunikacije, upravljane pružaoce IT usluga , vladine agencije i kritičnu infrastrukturu.
Oni iskorištavaju ranjivosti, od kojih neke datiraju iz 2017. godine, i koriste mješavinu gotovih i lokalno razvijenih alata za otkrivanje mreže, bočno kretanje i eksfiltraciju podataka.
Neke od poznatih operacija su Operacija Cloud Hopper ( APT10 ), Operacija Soft Cell (APT10) i novije aktivnosti APT40, uključujući „APT40 Advisory“ iz 2024. koju je obezbijedilo obavještajno partnerstvo Five Eyes.
Poznato je da ove grupe koriste alate kao što su modifikovani NBTscan, Nmap i prilagođeni malver za skeniranje otvorenih portova, identifikaciju sistemskih informacija i mapiranje mrežnih topologija.
Uporna upotreba ovih tehnika tokom protekle decenije, u kombinaciji sa sofisticiranim taktikama društvenog inženjeringa, što naglašava njihovu efikasnost u dugoročnim kampanjama sajber špijunaže usmjerenim na globalne entitete.
Operacija Diplomatic Spectre and Earth Krahang jedna je od nedavnih kampanja sajber špijunaže koja ilustruje evoluirajuću taktiku APT grupa povezanih s Kinezima.
Ovi akteri prijetnji koriste mješavinu uspostavljenih i novih alata za izviđanje kako bi ciljali vladine subjekte na Bliskom istoku, Africi i Aziji.
Uz web skeniranje i NBTscan za istraživanje mreže, grupa TGR-STA-0043 koja stoji iza Operation Diplomatic Spectre koristi alate poput LadonGo.
Istraživači su također usvojili novi komplet alata za testiranje penetracije nazvan “Yasso”, koji dolazi sa mogućnostima SQL injekcije i funkcijama udaljene ljuske.
Moguće je da Earth Krahang ima veze sa IT kompanijom pod nazivom i-Soon. Takođe ima infrastrukturu za korištenje skenera otvorenog koda kao što je SQLmap za ranjivosti baze podataka, Nuclei za skeniranje šablona i POCsuite za beskompromisno testiranje penetracije.
Ove grupe ciljaju na aktuelnija politička pitanja i nastoje da dobiju povjerljive informacije od diplomatskih, vojnih i političkih lidera i operacija.
Alati za baze podataka i druge napredne komande su dostupne u Yasso-u i čini se da usmjeravaju operacije koje su više fokusirane na komandu.
Izvor: CyberSecurityNews
