Državni subjekti visokog profila u jugoistočnoj Aziji meta su kampanje kibernetičke špijunaže koju od kraja prošle godine poduzima kineski haker poznat kao Sharp Panda.
Upadi su okarakterisani upotrebom nove verzije modularnog okvira Soul, što označava odmak od napadačkih lanaca grupe uočenih 2021. godine.
Izraelska kompanija za kibernetičku bezbjednost Check Point rekla je da su “dugotrajne” aktivnosti istorijski izdvajale zemlje kao što su Vijetnam, Tajland i Indonezija. Firma je prvi put dokumentovala Sharp Pandu u junu 2021. godine, opisujući je kao “visoko organizovanu operaciju koja je uložila značajan napor da ostane ispod radara”.
Korištenje Soul backdoor u napadima u stvarnom svijetu prvi je detaljno opisao Broadcom-ov Symantec u oktobru 2021. godine u vezi s nepripisanom špijunažnom operacijom usmjerenom na sektor odbrane, zdravstva i IKT u jugoistočnoj Aziji.
Porijeklo implantata, prema istraživanju koje je objavio Fortinet FortiGuard Labs u februaru 2022. godine, datira još od oktobra 2017. godine, sa kodom za prenamjenu malicioznog softvera iz Gh0st RAT-a i drugih javno dostupnih alata.
Lanac napada koji je detaljno opisao Check Point počinje email-om za krađu identiteta koja sadrži dokument za mamce koji koristi Royal Road Rich Text Format (RTF) za ispuštanje preuzimača iskorištavanjem jedne od nekoliko ranjivosti u Microsoft Equation Editor-u.
Program za preuzimanje je, zauzvrat, dizajniran da dohvati loader poznat kao SoulSearcher sa geoograđenog komandno-kontrolnog (C&C) servera koji odgovara samo na zahtjeve koji potiču sa IP adresa koje odgovaraju ciljanim zemljama.
Učitavač je tada odgovoran za preuzimanje, dešifrovanje i izvršavanje Soul backdoor-a i njegovih drugih komponenti, omogućavajući tako protivniku da prikupi širok spektar informacija.
“Glavni modul Soul je odgovoran za komunikaciju sa C&C serverom i njegova primarna svrha je primanje i učitavanje dodatnih modula u memoriju” rekao je Check Point.
“Zanimljivo je da backdoor konfiguracija sadrži funkciju poput ‘radio tišine’, gdje hakeri mogu odrediti određene sate u sedmici kada backdoor-u nije dozvoljeno da komunicira sa C&C serverom.”
Nalazi su još jedan pokazatelj dijeljenja alata koji prevladava među kineskim grupama za napredne persistentne prijetnje (APT) kako bi se olakšalo prikupljanje obavještajnih podataka.
“Iako je Soul framework u upotrebi najmanje od 2017. godine, hakeri koji stoje iza njega neprestano ažuriraju i usavršavaju njegovu arhitekturu i mogućnosti” kažu iz kompanije.
Nadalje je navedeno da kampanju vjerovatno “režiraju napredni hakeri koje podržavaju Kinezi, čiji drugi alati, sposobnosti i pozicija u široj mreži špijunskih aktivnosti tek treba da se istraže”.
Izvor: The Hacker News