Çinli bir gelişmiş kalıcı tehdit (APT) grubu, en az 18 ay süren “kalıcı bir kampanyanın” parçası olarak Tayvanlı finans kurumlarını hedef alıyor.
Birincil amacı casusluk olan izinsiz girişler, adı verilen bir arka kapının konuşlandırılmasıyla sonuçlandı. xPackBroadcom’un sahibi olduğu Symantec, bir basın toplantısında, saldırgana güvenliği ihlal edilmiş makineler üzerinde kapsamlı kontrol sağladığını söyledi. bildiri geçen hafta yayınlandı.
Bu kampanyayla ilgili dikkate değer olan şey, tehdit aktörünün kurban ağlarında pusuya yatarak operatörlere ayrıntılı keşif için bolca fırsat tanıması ve iş bağlantıları ve yatırımlarıyla ilgili potansiyel olarak hassas bilgileri herhangi bir kırmızı bayrak göstermeden sızdırmasıdır.
Adı açıklanmayan finans kuruluşlarından birinde, saldırganlar Aralık 2020 ile Ağustos 2021 arasında yaklaşık 250 gün geçirirken, bir üretim biriminin ağı yaklaşık 175 gün gözetim altında kaldı.
Hedefleri ihlal etmek için kullanılan ilk erişim vektörü belirsizliğini koruyor olsa da, Antlion’un bir yer kazanmak ve sistem komutlarını yürütmek, sonraki kötü amaçlı yazılımları ve araçları bırakmak ve sahneye koymak için kullanılan xPack özel arka kapısını bırakmak için bir web uygulaması kusurundan yararlandığından şüpheleniliyor. sızma için veriler.
Ek olarak, tehdit aktörü C++ tabanlı özel yükleyicilerin yanı sıra AnyDesk ve araziden uzakta yaşamak gibi yasal kullanıma hazır araçların bir kombinasyonunu kullandı (LotL) uzaktan erişim elde etme, kimlik bilgilerini boşaltma ve isteğe bağlı komutları yürütme teknikleri.
Araştırmacılar, “Antlion’un en az 2011’den beri casusluk faaliyetlerinde bulunduğuna inanılıyor ve bu son aktivite, ilk ortaya çıktıktan sonra 10 yıldan fazla bir süredir farkında olunması gereken bir aktör olduğunu gösteriyor” dedi.
Bulgular, son aylarda Tayvan’ı hedef alan Çin bağlantılı ulus-devlet gruplarının büyüyen listesine eklendi; Tropic Trooper ve Earth Lusca’nın ABD’de hükümete, sağlık hizmetlerine, ulaşıma ve eğitim kurumlarına saldırması gibi takip edilen tehdit aktörleri tarafından kötü niyetli siber faaliyetler düzenlendi. ülke.