Telekomunikacioni provajderi na Bliskom istoku predmet su novih kibernetičkih napada koji su počeli u prvom kvartalu 2023. godine.
Set za upad pripisan je kineskom hakeru, akteru kibernetičke špijunaže povezanim s kampanjom pod nazivom Operacija Soft Cell zasnovanom na preklapanju alata.
„Inicijalna faza napada uključuje infiltrovanje na Internet servere Microsoft Exchange kako bi se postavio web shell koji se koristi za izvršavanje komandi” rekli su istraživači iz SentinelOne-a i QGroup-a u novom tehničkom izvještaju koji je podijeljen.
“Kada se uspostavi uporište, napadači provode različite aktivnosti izviđanja, krađe kredencijala, lateralnog kretanja i eksfiltracije podataka.”
Operacija Soft Cell, prema Cybereason-u, odnosi se na maliciozne aktivnosti koje poduzimaju hakeri povezani s Kinom usmjereni na telekomunikacione provajdere od 2012. godine.
Poznato je da haker Soft Cell, kojeg Microsoft takođe prati kao Gallium, cilja na nezakrpljene internetske usluge i koristi alate kao što je Mimikatz da dobije kredencijale koje omogućavaju lateralno kretanje kroz ciljane mreže.
Takođe, koriste backdoor kodnog imena PingPull u svojim špijunskim napadima usmjerenim protiv kompanija koje posluju u jugoistočnoj Aziji, Evropi, Africi i na Bliskom istoku.
Centralno u posljednjoj kampanji je implementirana prilagođena varijanta Mimikatza koja se naziva mim221, koja sadrži nove funkcije protiv detekcije.
“Korištenje modula posebne namjene koji implementuju niz naprednih tehnika pokazuje predanost hakera unapređenju svog skupa alata prema maksimalnoj skrivenosti” rekli su istraživači, dodajući da “naglašava kontinuirano održavanje i daljnji razvoj arsenala malicioznog softvera za kinesku špijunažu”.
Napadi su se na kraju pokazali neuspješnim, a breach-ovi su otkriveni i blokirani prije nego što su implantati mogli biti raspoređeni na ciljnim mrežama.
Prethodno istraživanje Gallium-a sugeriše taktičke sličnosti PDF-a sa više grupa kineskih nacionalnih država kao što su APT10 (aka Bronze Riverside, Kalium ili Stone Panda), APT27 (aka Bronze Union, Emissary Panda ili Lucky Mouse) i APT41 (aka Barium, Bronze Atlas, or Wicked Panda).
Ovo još jednom ukazuje na znakove dijeljenja alata zatvorenog koda između hakera koje sponzoriše kineska država, a da ne spominjemo mogućnost “digitalnog intendanta” odgovornog za održavanje i distribuciju skupa alata.
Nalazi dolaze usred otkrića da su razne druge hakerske grupe, uključujući BackdoorDiplomacy i WIP26, usmjerile svoje nišane na pružatelje telekomunikacijskih usluga u regiji Bliskog istoka.
“Oboje nisu u potpunosti povezani sa aktivnostima soft Cell”, rekao je za Hacker News Juan Andres Guerrero-Saade (JAG-S), viši direktor SentinelLabs-a u SentinelOne-u. “To više govori o važnosti koju kineski izvršioci pridaju ciljanju ovih vertikala.”
“CN operacije pokazuju gotovo suvišan stil postojanja više grupa pretnji koje često napadaju iste mete na nekoordinisan način. Nije neuobičajeno pronaći više grupa CN pretnji koje zajedno žive u istom okruženju žrtava.”
Poznato je da kineski hakeri iz polja kibernetičke špijunaže imaju strateški interes na Bliskom istoku, zaključili su istraživači.
“Ovi hakeri će gotovo sigurno nastaviti istraživati i nadograđivati svoje alate novim tehnikama za izbjegavanje otkrivanja, uključujući integraciju i modifikovanje javno dostupnog koda.”
Izvor: The Hacker News