Ranije neidentifikovana APT grupa, poznata kao Grayling, od februara cilja na niz organizacija koje se protežu u proizvodnom, IT i biomedicinskom sektoru na Tajvanu. Domet grupe nije ograničen samo na Tajvan; vladina agencija pacifičkih ostrva i entiteti u Vijetnamu i SAD-u su takođe bili na meti.
Zaronimo u detalje
Symantec Threat Hunter tim je skrenuo pažnju na Grayling prvenstveno zbog njegove jedinstvene upotrebe tehnike bočnog učitavanja DLL-a uparene sa prilagođenim dešifratorom za raspoređivanje payloada.
- Čini se da se Grejlingov modus operandi vrti oko iskorištavanja javne infrastrukture za početni pristup.
- Uočeno je da napadači postavljaju web shell na određene računare žrtve, čak i prije nego što je DLL bočno učitavanje stupilo na snagu.
- Nakon ovog bočnog učitavanja, učitava se mnoštvo payloada kao što su Cobalt Strike, NetSpy i Havoc framework. Njihove operacije nakon sticanja pristupa obuhvataju eskalaciju privilegija, skeniranje mreže i upošljavanje downloadera.
- Osim gore navedenih alata, Graylingov arsenal uključuje eksploataciju CVE-2019-0803, otkrivanje Active Directory i Mimikatz.
Zašto je ovo važno
Iako nije uočena direktna eksfiltracija podataka, strategije i alati koje koristi Grayling nepogrešivo upućuju na prikupljanje obavještajnih podataka.
- Ciljane industrije, naime proizvodnja, IT, biomedicinske i vladine agencije, vjerojatnije će biti izložene sajber napadima vođenim obavještajnim podacima, a ne financijski motiviranim.
- Koristeći gotove alate, napadači ne samo da štede na vremenu razvoja, već i otežavaju atribuciju sajber istražiteljima. Njihove pedantne operacije, kao što je završetak procesa, dodatno naglašavaju njihovu namjeru da ostanu skriveni.
Zaključak
Iako je tačno Grejlingovo poreklo i dalje neizvesno, značajno ciljanje tajvanskih entiteta sugeriše da bi njegova operativna baza mogla biti u regionu sa stečenim strateškim interesima na Tajvanu. Za organizacije koje imaju za cilj da se brane od takvih prijetnji, neophodno bi bilo oštro oko za mrežne anomalije i rigorozno upravljanje zakrpama, posebno za poznate ranjivosti poput CVE-2019-0803.
Izvor: Cyware Alerts – Hacker News