12 Eylül 2023THNKritik Altyapı Güvenliği

Tehdit aktörü aradı Kızılsinek Bu yılın altı ay kadar uzun bir süre boyunca, ShadowPad olarak adlandırılan bilinen bir kötü amaçlı yazılım kullanılarak isimsiz bir Asya ülkesinde bulunan ulusal bir şebekenin ele geçirilmesiyle bağlantılıydı.

Broadcom’un bir parçası olan Symantec Tehdit Avcısı Ekibi, “Saldırganlar kimlik bilgilerini çalmayı ve kuruluşun ağındaki birden fazla bilgisayarın güvenliğini aşmayı başardılar” dedi. söz konusu The Hacker News ile paylaşılan bir raporda. “Saldırı, bir dizi casusluk müdahalesinin sonuncusu. [critical national infrastructure] hedefler.”

PoisonPlug olarak da bilinen ShadowPad, PlugX uzaktan erişim truva atının devamı niteliğindedir ve ihlal edilen ağlardan hassas verileri toplamak için gerektiğinde uzak bir sunucudan dinamik olarak ek eklentiler yükleyebilen modüler bir implanttır.

Olmuştur yaygın olarak kullanılan giderek büyüyen bir listeyle Çin-bağlantı noktası ulus-devlet grupları en az 2019’dan bu yana çeşitli sektör dikeylerindeki kuruluşları hedef alan saldırılarda bulunuyor.

Secureworks Karşı Tehdit Birimi (CTU), Şubat 2022’de “ShadowPad’in şifresinin bellekte özel bir şifre çözme algoritması kullanılarak çözüldüğünü” belirtti. “ShadowPad, ana bilgisayar hakkındaki bilgileri çıkarır, komutları yürütür, dosya sistemi ve kayıt defteriyle etkileşime girer ve genişletmek için yeni modüller dağıtır. işlevsellik.”

Asya varlığını hedef alan bir saldırının ilk işaretinin, ShadowPad’in tek bir bilgisayarda çalıştırıldığı ve ardından üç ay sonra 17 Mayıs’ta arka kapıyı çalıştırdığı 23 Şubat 2023’te kaydedildiği söyleniyor.

Aynı zamanda, rastgele kabuk kodunu yürütmek için kullanılan Packerloader adı verilen bir araç da dağıtıldı; bu araç, tüm kullanıcılara erişim izni vermek için dump_diskfs.sys olarak bilinen bir sürücü dosyasının izinlerini değiştirmek için kullanılıyor ve bu da sürücünün kullanılmış olabileceği olasılığını artırıyor. daha sonra dışarı sızmak için dosya sistemi dökümleri oluşturun.

Tehdit aktörlerinin ayrıca sisteme bağlı depolama aygıtları hakkında bilgi toplamak, Windows Kayıt Defteri’nden kimlik bilgilerini boşaltmak ve aynı zamanda makinedeki güvenlik olay günlüklerini temizlemek için PowerShell komutlarını çalıştırdıkları da gözlemlendi.

Symantec, “29 Mayıs’ta saldırganlar geri döndü ve kimlik bilgilerini LSASS’tan boşaltmak için ProcDump’ın yeniden adlandırılan bir sürümünü (dosya adı: alg.exe) kullandı.” dedi. “31 Mayıs’ta, oleview.exe’yi yürütmek için zamanlanmış bir görev kullanıldı ve çoğunlukla yandan yükleme ve yanal hareket gerçekleştirmesi bekleniyor.”

Redfly’ın, enfeksiyonu ağdaki diğer makinelere yaymak için çalıntı kimlik bilgilerini kullandığından şüpheleniliyor. Yaklaşık iki aylık bir aradan sonra, rakip 27 Temmuz’da bir keylogger kurmak ve 3 Ağustos’ta bir kez daha LSASS ve Kayıt Defteri’nden kimlik bilgilerini çıkarmak için yeniden sahneye çıktı.

Symantec, kampanyanın, Çin devleti destekli gruba atfedilen daha önce tanımlanan faaliyetlerle altyapı ve araç örtüşmelerini paylaştığını söyledi. APT41 (aka Winnti), Redly neredeyse yalnızca kritik altyapı varlıklarını hedeflemeye odaklanıyor.

YAKLAŞAN WEBİNAR

Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması

MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin

Becerilerinizi Güçlendirin

Ancak bilgisayar korsanlığı ekibinin bugüne kadar herhangi bir yıkıcı saldırı düzenlediğine dair hiçbir kanıt yok.

Şirket, “Ulusal şebekede uzun vadeli ve kalıcı bir varlık sürdüren tehdit aktörlerinin, siyasi gerilimin arttığı dönemlerde diğer eyaletlerdeki güç kaynaklarını ve diğer hayati hizmetleri kesintiye uğratmak üzere tasarlanmış saldırılara yönelik açık bir risk oluşturduğunu” belirtti.

Gelişme, Microsoft’un, Çin’e bağlı aktörlerin ABD’yi hedef alan nüfuz operasyonlarında ve Güney Çin Denizi bölgesindeki “bölgesel hükümetlere ve endüstrilere karşı istihbarat toplama ve kötü amaçlı yazılım yürütme yürütmede” kullanılmak üzere yapay zeka tarafından oluşturulan görsel medyaya odaklandıklarını açıklamasıyla birlikte geldi. yılın başından beri.

“Ahududu Tayfunu [formerly Radium] teknoloji devi, sürekli olarak hükümet bakanlıklarını, askeri birimleri ve başta telekomünikasyon olmak üzere kritik altyapıya bağlı kurumsal varlıkları hedef alıyor” dedi. söz konusu. “Ocak 2023’ten bu yana Raspberry Typhoon özellikle ısrarcı oldu.”

Diğer hedefler arasında ABD savunma sanayi üssü (Circle Typhoon / DEV-0322, Mulberry Typhoon / Manganese ve Volt Typhoon / DEV-0391), ABD kritik altyapısı, Avrupa ve ABD’deki devlet kurumları (Storm-0558) ve Tayvan (Storm-0558) yer alıyor. Kömür Tayfunu / Krom ve Keten Tayfunu / Fırtına-0919).

Aynı zamanda aşağıdakileri de takip eder: rapor Atlantik Konseyi’nden, ülkede faaliyet gösteren şirketlerin, ürünlerindeki güvenlik kusurlarını Sanayi ve Bilgi Teknolojileri Bakanlığı’na (MIIT) bildirmelerini gerektiren bir Çin yasasının çıkarıldığı bildirildi. izin verir ülkenin güvenlik açıklarını biriktirmesi ve devlet korsanlarının “operasyonel tempoyu, başarıyı ve kapsamı artırmasına” yardımcı olması.



siber-2