Nova prijetnja na horizontu: Grayling APT grupa

By Adam
Novosti

Ranije neidentifikovana APT grupa, poznata kao Grayling, od februara cilja na niz organizacija koje se protežu u proizvodnom, IT i biomedicinskom sektoru na Tajvanu. Domet grupe nije ograničen samo na Tajvan; vladina agencija pacifičkih ostrva i entiteti u Vijetnamu i SAD-u su takođe bili na meti.

Zaronimo u detalje

Symantec Threat Hunter tim je skrenuo pažnju na Grayling prvenstveno zbog njegove jedinstvene upotrebe tehnike bočnog učitavanja DLL-a uparene sa prilagođenim dešifratorom za raspoređivanje payloada. 

  • Čini se da se Grejlingov modus operandi vrti oko iskorištavanja javne infrastrukture za početni pristup. 
  • Uočeno je da napadači postavljaju web shell na određene računare žrtve, čak i prije nego što je DLL bočno učitavanje stupilo na snagu. 
  • Nakon ovog bočnog učitavanja, učitava se mnoštvo payloada kao što su Cobalt Strike, NetSpy i Havoc framework. Njihove operacije nakon sticanja pristupa obuhvataju eskalaciju privilegija, skeniranje mreže i upošljavanje downloadera.
  • Osim gore navedenih alata, Graylingov arsenal uključuje eksploataciju CVE-2019-0803, otkrivanje Active Directory i Mimikatz.

Zašto je ovo važno

Iako nije uočena direktna eksfiltracija podataka, strategije i alati koje koristi Grayling nepogrešivo upućuju na prikupljanje obavještajnih podataka. 

  • Ciljane industrije, naime proizvodnja, IT, biomedicinske i vladine agencije, vjerojatnije će biti izložene sajber napadima vođenim obavještajnim podacima, a ne financijski motiviranim.
  • Koristeći gotove alate, napadači ne samo da štede na vremenu razvoja, već i otežavaju atribuciju sajber istražiteljima. Njihove pedantne operacije, kao što je završetak procesa, dodatno naglašavaju njihovu namjeru da ostanu skriveni.

Zaključak

Iako je tačno Grejlingovo poreklo i dalje neizvesno, značajno ciljanje tajvanskih entiteta sugeriše da bi njegova operativna baza mogla biti u regionu sa stečenim strateškim interesima na Tajvanu. Za organizacije koje imaju za cilj da se brane od takvih prijetnji, neophodno bi bilo oštro oko za mrežne anomalije i rigorozno upravljanje zakrpama, posebno za poznate ranjivosti poput CVE-2019-0803.

Izvor: Cyware Alerts – Hacker News

Recent Articles

spot_img

Related Stories

Novosti

Google dodaje višeslojne odbrane kako bi zaštitio GenAI od napada putem prompt injection tehnika

Novosti

Scattered Spider iza cyber napada na M&S i Co-op, šteta i do 592 miliona dolara

Novosti

Ko čuva AI? Čak i sigurnosni timovi zaobilaze nadzor

Novosti

Ukradeni podaci iz Chain IQ-a i UBS-a u ransomware napadu

Novosti

Hakeri pristupili starim sistemima u sajber napadu na Opštinu Oksford

Novosti

AI Indeks 2025: Šta se mijenja i zašto je to važno

© Copyright - Kiber.ba