Grupi hakera koju sponzoriše kineska država praćena kao RedGolf je pripisano korištenje prilagođenog Windows i Linux backdoor-a pod nazivom KEYPLUG.
“RedGolf je posebno plodna grupa hakera koju sponzoriše kineska država i koja je vjerovatno bila aktivna dugi niz godina protiv širokog spektra industrija širom svijeta” rekao je Recorded Future za Hacker News.
“Grupa je pokazala sposobnost brzog naoružanja novoprijavljenih ranjivosti (npr. Log4Shell i ProxyLogon) i ima istoriju razvoja i korištenja velikog raspona prilagođenih familija malvera.”
Korištenje KEYPLUG-a od strane kineskih hakera prvi je otkrio Manidant u vlasništvu Google-a u martu 2022. godine u napadima usmjerenim na više mreža američkih državnih vlada između maja 2021. godine i februara 2022. godine.
Zatim, u oktobru 2022. godine, Malwarebytes je opisao odvojeni skup napada usmjerenih na vladine subjekte u Šri Lanci koji su koristili novi implant nazvan DBoxAgent za implementaciju KEYPLUG-a.
Ove kampanje su pripisane Winnti (aka APT41 , Barium, Bronze Atlas ili Wicked Panda), za koju Recorded Future kaže da se “usko preklapa” sa RedGolf-om.
“Nismo primijetili specifičnu viktimologiju kao dio najnovije istaknute aktivnosti RedGolf-a” rekao je Recorded Future. “Međutim, vjerujemo da se ova aktivnost vjerovatno provodi u obavještajne svrhe, a ne u finansijske svrhe zbog preklapanja s prethodno prijavljenim kampanjama kibernetičke špijunaže.”
Firma za kibernetičku bezbjednost, osim što je otkrila klaster KEYPLUG uzoraka i operativne infrastrukture (kodnog naziva GhostWolf) koju je hakerska grupa koristila od najmanje 2021. godine do 2023. godine, primijetila je da koristi druge alate poput Cobalt Strike i PlugX-a.
GhostWolf infrastruktura se, sa svoje strane, sastoji od 42 IP adrese koje funkcionišu kao KEYPLUG naredba i kontrola. Primjećeno je i da suprotstavljeni kolektiv koristi mješavinu tradicionalno registrovanih domena i domena dinamičkog DNS-a, često sa tehnološkom temom, da djeluje kao komunikacijske tačke za Cobalt Strike i PlugX.
“RedGolf će nastaviti da demonstrira visok operativni tempo i brzo naoružava ranjivosti u eksternim korporativnim uređajima (VPN-ovi, firewall, mail serveri, itd.) kako bi dobili početni pristup ciljnim mrežama” saopštila je kompanija.
“Pored toga, grupa će vjerovatno nastaviti da usvaja nove prilagođene porodice malicioznog softvera koje će dodati postojećim alatima kao što je KEYPLUG.”
Za odbranu od RedGolf napada, organizacijama se preporučuje da redovno primenjuju zakrpe, nadgledaju pristup spoljnim mrežnim uređajima, prate i blokiraju identifikovanu komandno-kontrolnu infrastrukturu i konfigurišu sisteme za otkrivanje ili prevenciju upada za praćenje otkrivanja malicioznog softvera.
Nalazi dolaze nakon što je Trend Micro otkrio da je otkrio više od 200 žrtava napada Mustang Panda (aka Earth Preta) kao dio dalekosežnog napora kibernetičke špijunaže koji su orkestrovale različite podgrupe od 2022. godine.
Većina kibernetičkih napada otkrivena je u Aziji, zatim u Africi, Evropi, Bliskom istoku, Okeaniji, Sjevernoj Americi i Južnoj Americi.
“Postoje jake naznake isprepletene tradicionalne trgovine obavještajnim podacima i napora za kibernetičko prikupljanje, što ukazuje na visoko koordinisanu i sofistikovanu operaciju kibernetičke špijunaže” rekao je Trend Micro.
Izvor: The Hacker News