Japanske organizacije su na meti hakera kineske nacionalne države koji koristi porodice zlonamjernog softvera kao što su LODEINFO i NOOPDOOR za prikupljanje osjetljivih informacija od kompromitovanih hostova, dok u nekim slučajevima krišom ostaju ispod radara u periodu od dvije do tri godine.
Izraelska kompanija za cyber sigurnost Cybereason prati kampanju pod imenom Cuckoo Spear, pripisujući je kao povezanu s poznatim skupom za upad pod nazivom APT10, koji je takođe poznat kao Bronze Riverside, ChessMaster, Cicada, Cloudhopper, MenuPass, MirrorFace, Purple Potassium (former Purple Potassium) i Stone Panda.
“Učesnici koji stoje iza NOOPDOOR-a ne samo da su koristili LODEINFO tokom kampanje, već su koristili i novi backdoor za eksfiltriranje podataka iz kompromitovanih poslovnih mreža”, navodi se u saopštenju.
Nalazi dolaze sedmicama nakon što je JPCERT/CC upozorio na cyber napade koje je pokrenuo hakere usmjeren na japanske entitete koristeći dva soja zlonamjernog softvera.
Ranije ovog januara, ITOCHU Cyber & Intelligence je otkrio da je otkrio ažuriranu verziju LODEINFO backdoor-a koja uključuje tehnike anti-analize, ističući upotrebu e-mailova za krađu identiteta za propagiranje zlonamjernog softvera.
Trend Micro, koji je prvobitno skovao pojam MenuPass da opiše hakere, okarakterisao je APT10 kao krovnu grupu koja se sastoji od dva klastera koje naziva Earth Tengshe i Earth Kasha. Poznato je da je hakerska ekipa operativna od najmanje 2006 gdoine.
Dok je Earth Tengshe povezan s kampanjama koje distribuiraju SigLoader i SodaMaster, Earth Kasha se pripisuje isključivom korištenju LODEINFO i NOOPDOOR-a. Uočeno je da obje podgrupe ciljaju javne aplikacije s ciljem eksfiltracije podataka i informacija u mreži.
Za Zemlju Tengshe se takođe kaže da je povezana sa još jednim klasterom kodnog imena Bronze Starlight (tzv. Emperor Dragonfly ili Storm-0401), koji ima istoriju rada sa kratkotrajnim porodicama ransomware-a kao što su LockFile, Atom Silo, Rook, Night Sky, Pandora i Cheerscrypt.
S druge strane, utvrđeno je da Earth Kasha mijenja svoje početne metode pristupa iskorištavanjem javnih aplikacija od aprila 2023. godine, koristeći prednosti nepopravljivih nedostataka u Array AG (CVE-2023-28461), Fortinet (CVE-2023-27997). ), i instance Proself (CVE-2023-45727) za distribuciju LODEINFO i NOOPDOOR (aka HiddenFace).
LODEINFO dolazi u paketu sa nekoliko naredbi za izvršavanje proizvoljnog shell koda, evidentiranje pritisaka na tipke, snimanje ekrana, prekid procesa i eksfiltriranje datoteka nazad na server koji kontrolira akter. NOOPDOOR, koji dijeli kodne sličnosti sa drugim APT10 backdoorom poznatim kao ANEL Loader, ima funkcionalnost za učitavanje i preuzimanje datoteka, izvršavanje shellcode-a i pokretanje više programa.
„Čini se da se LODEINFO koristi kao primarni backdoor, a NOOPDOOR djeluje kao sekundarni backdoor, zadržavajući postojanost unutar ugrožene korporativne mreže više od dvije godine,“ rekao je Cybereason. “Hakeri održavaju upornost u okruženju zloupotrebljavajući zakazane zadatke.”
Izvor:The Hacker News
