Brodarske kompanije i medicinske laboratorije u Aziji bile su predmet špijunske kampanje koju je, kako se sumnja, provodio dosad neviđeni haker pod nazivom Hydrochasma.
Aktivnost, koja traje od oktobra 2022. godine, “oslanja se isključivo na javno dostupne alate” navodi Symantec, kompanije Broadcom Software, u izvještaju koji je podijeljen za The Hacker News.
Još uvijek nema dostupnih dokaza koji bi utvrdili njegovo porijeklo ili povezanost s poznatim hakerima, ali kompanija za kibernetičku bezbjednost je rekla da grupa možda ima interes za industrijske vertikale koje su uključene u tretmane ili vakcine povezane s COVID-19.
Izvanredni aspekt kampanje je odsustvo eksfiltracije podataka i prilagođenog malicioznog softvera, pri čemu haker koristi alate otvorenog koda za prikupljanje obavještajnih podataka. Korišćenjem već dostupnih alata, čini se da cilj nije samo da se zbune pokušaji atribucije, već i da se napadi učine prikrivenijima.
Početak lanca zaraze je najvjerovatnije phishing poruka koja sadrži dokument o mamcima na temu nastavka koji, kada se pokrene, daje početni pristup mašini.
Odatle su napadači primijećeni kako postavljaju mnoštvo alata kao što su Fast Reverse Proxy (FRP), Meterpreter, Cobalt Strike Beacon, Fscan, BrowserGhost i Gost proxy.
“Alati koje koristi Hydrochasma ukazuju na želju da se postigne uporan i prikriven pristup mašinama žrtava, kao i napor da se eskaliraju privilegije i lateralno šire kroz mreže žrtava” rekli su istraživači.
Zloupotreba FRP-a od strane hakerskih grupa je dobro dokumentovana. U oktobru 2021. godine, Positive Technologies je otkrila napade koje je pokrenuo ChamelGang koji su uključivali korištenje alata za kontrolu kompromitiranih hostova.
Zatim je prošlog septembra, AhnLab Security Emergency Response Center (ASEC) otkrio napade usmjerene na južnokorejske kompanije koje su koristile FRP za uspostavljanje udaljenog pristupa sa već kompromitovanih servera kako bi prikrile porijeklo protivnika.
Hydrochasma nije jedini haker u posljednjih nekoliko mjeseci koji je u potpunosti izbjegao prilagođeni maliciozni softver. Ovo uključuje kibernetičku kriminalnu grupu pod nazivom OPERA1ER (aka Bluebottle) koja u velikoj mjeri koristi život izvan zemlje, alate dvostruke namjene i robni maliciozni softver u upadima usmjerenim na Francophone zemlje u Africi.
Izvor: The Hacker News