Japonya ve ABD’deki siber güvenlik kurumları, Çin’den gelen devlet destekli bir bilgisayar korsanlığı grubunun, şube yönlendiricilerini gizlice kurcalamak ve bunları iki ülkedeki çeşitli şirketlerin ağlarına erişmek için atlama noktaları olarak kullanmak amacıyla gerçekleştirdiği saldırılar konusunda uyardı.
Saldırıların kötü niyetli bir siber aktörle bağlantılı olduğu belirtildi. Siyah Teknoloji ABD Ulusal Güvenlik Ajansı (NSA), Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Japonya Ulusal Polis Ajansı (NPA) ve Japonya Ulusal Siber Güvenlik Olaylarına Hazırlık ve Strateji Merkezi (NISC) tarafından .
Ajanslar, “BlackTech, yönlendirici donanım yazılımını tespit etmeden değiştirme ve yönlendiricilerin etki alanı-güven ilişkilerinden yararlanarak uluslararası yan kuruluşlardan birincil hedefler olan Japonya ve Amerika Birleşik Devletleri’ndeki genel merkezlere geçiş yapma yeteneğini gösterdi.” söz konusu ortak alarmda.
Hedeflenen sektörler hükümet, sanayi, teknoloji, medya, elektronik ve telekomünikasyon sektörlerinin yanı sıra ABD ve Japonya ordularını destekleyen kuruluşları kapsamaktadır.
Siyah TeknolojiCircuit Panda, HUAPI, Manga Taurus, Palmerworm, Red Djinn ve Temp.Overboard isimleriyle de anılan bu saldırının Doğu Asya’daki, özellikle Tayvan, Japonya ve Hong Kong’daki hedeflere karşı en az 2007’den beri faaliyet geçmişi var.
Trend Micro, Aralık 2015’te, tarif edildi Tehdit aktörü, iyi finanse edilmiş ve organize edilmiş, bölgede bulunan hükümet, tüketici elektroniği, bilgisayar, sağlık ve finans gibi kilit sektör dikeylerini vuruyor.
O zamandan beri, aşağıdakiler gibi çok çeşitli arka kapılara atfedilmiştir: BendyBearBİFROSE (diğer adıyla Bifrost), Consock, KIVARS, DUA, TSCerisi (diğer adıyla FakeDead), XBOW ve Su ayısı (diğer adıyla DBGPRINT). PLLEAD kampanyaları belgelenmiş Haziran 2017’de siber güvenlik firması tarafından yapılan bir saldırı, savunmasız yönlendiricilerin komuta ve kontrol (C&C) sunucuları olarak kullanılmasına yol açtı.
“LÜTFEN aktörler Trend Micro o dönemde, savunmasız yönlendiricileri taramak için bir yönlendirici tarayıcı aracı kullanacağını, bunun ardından saldırganların yönlendiricinin VPN özelliğini etkinleştireceğini ve ardından bir makineyi sanal sunucu olarak kaydedeceğini belirtmişti. “Bu sanal sunucu ya bir C&C sunucusu olarak kullanılacak ya da PLEAD kötü amaçlı yazılımını hedeflerine ulaştıran bir HTTP sunucusu.”
Tehdit aktörü tarafından düzenlenen tipik saldırı zincirleri, hassas verileri toplamak üzere tasarlanmış kötü amaçlı yazılımları dağıtmak için arka kapı yüklü eklere sahip hedef odaklı kimlik avı e-postaları göndermeyi içerir. Bayrakpro ve BTSDoor, PwC olarak bilinen arka kapı açıklandı Ekim 2021’de “yönlendiriciden yararlanmanın BlackTech için TTP’lerin temel bir parçası olduğunu” belirtti.
Bu temmuzun başlarında, Google’ın sahibi olduğu Mandiant vurgulanmış Çinli tehdit gruplarının “kurban ağlarının hem dışındaki hem de içindeki saldırgan trafiğini iletmek ve gizlemek için yönlendiricileri ve diğer yöntemleri hedeflemesi.”
Tehdit istihbarat şirketi ayrıca BlackTech’i, öncelikle Tayvan hükümeti ve teknoloji hedeflerine gönderilen ve “bir kurban ortamında EYEWELL bulaşmış diğer sistemlerden gelen trafiği aktarmak için kullanılabilecek pasif bir proxy yeteneği içeren” EYEWELL adlı bir kötü amaçlı yazılımla ilişkilendirdi.
Kapsamlı araç seti, sürekli gelişen kötü amaçlı yazılım araç seti ile övünen son derece becerikli bir bilgisayar korsanlığı ekibine ve tespitten kaçmaya ve avantajlardan yararlanarak uzun süreler boyunca radar altında kalmaya yönelik istismar çabalarına işaret ediyor. çalıntı kod imzalama sertifikaları ve diğer arazide yaşama (LotL) teknikleri.
Yapay Zekayla Yapay Zekayla Mücadele Edin — Yeni Nesil Yapay Zeka Araçlarıyla Siber Tehditlerle Mücadele Edin
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
CISA ve diğerleri, en son tavsiye niteliğindeki raporunda, tehdit aktörünün, uç cihazlara sızmak için özelleştirilmiş kötü amaçlı yazılım ve özel kalıcılık mekanizmaları geliştirme, kalıcılığı korumak için genellikle bellenimi değiştirme, trafiği proxy olarak kullanma, kurumsal ağ trafiğine uyum sağlama ve farklı yönlere dönme yeteneklerine sahip olduğu yönünde çağrıda bulundu. aynı ağdaki diğer kurbanlar.
Başka bir deyişle, bellenimde yapılan hileli değişiklikler, operatörlerin yönlendiriciye gizli erişimi sürdürmesine olanak tanıyan yerleşik bir SSH arka kapısı içerir. sihirli paketler Fonksiyonu etkinleştirmek veya devre dışı bırakmak için.
Ajanslar, “BlackTech aktörleri, özelleştirilmiş bir ürün yazılımı arka kapısının varyasyonlarını kullanarak çeşitli Cisco yönlendiricilerini tehlikeye attı” dedi. “Arka kapı işlevi, özel hazırlanmış TCP veya UDP paketleri aracılığıyla etkinleştirilir ve devre dışı bırakılır. Bu TTP yalnızca Cisco yönlendiricileriyle sınırlı değildir ve diğer ağ ekipmanlarında arka kapıları etkinleştirmek için benzer teknikler kullanılabilir.”
Cisco, kendi bülteninde, bu saldırılarda en yaygın ilk erişim vektörünün çalıntı veya zayıf idari kimlik bilgileriyle ilgili olduğunu ve yazılımındaki herhangi bir güvenlik kusurunun aktif olarak kullanıldığına dair bir kanıt bulunmadığını söyledi.
Şirket, “Günlüğe kaydetmenin devre dışı bırakılması ve ürün yazılımının indirilmesi gibi belirli yapılandırma değişiklikleri, yönetici kimlik bilgileri gerektirir” dedi. söz konusu. “Saldırganlar, yönetici düzeyinde yapılandırma ve yazılım değişiklikleri gerçekleştirmek için ele geçirilen kimlik bilgilerini kullandı.”
Azaltıcı bir önlem olarak, ağ savunucularının, önyükleyicilerin ve ürün yazılımı görüntülerinin yetkisiz indirilmesine ve yeniden başlatmalara karşı ağ cihazlarını izlemesi ve SSH dahil, yönlendiriciye yönlendirilen anormal trafiğe karşı tetikte olması önerilir.
