Unfading Sea Haze: Lopakodó kiberkémkedés a Dél-kínai-tengeren
Egy korábban fel nem fedezett kiberfenyegető szereplő, akit “Unfading Sea Haze” néven emlegetnek, 2018 óta a Dél-kínai-tenger térségében lévő katonai és kormányzati szervezeteket veszi célba. A Bitdefender kutatói által felfedezett csoport a kínai geopolitikai érdekekhez igazodik, és hírszerzésre és kémkedésre összpontosít. Technikáik és eszközeik átfedésben vannak az ismert kínai államilag támogatott csoportok, például az APT41 technikáival és eszközeivel. A csoport műveletei spear-phishing e-mailekkel kezdődnek, amelyek dokumentumoknak álcázott LNK fájlokat tartalmazó rosszindulatú ZIP-archívumokat szállítanak. Ezek a fájlok elhomályosított PowerShell-parancsokat telepítenek, amelyek a Microsoft legális msbuild.exe fájl nélküli rosszindulatú szoftverek közvetlen memóriába történő futtatására használják, megnehezítve ezzel a felderítést.
Az Unfading Sea Haze kifinomult támadási stratégiája magában foglalja a “SerialPktdoor” nevű backdoor telepítését a veszélyeztetett rendszerek feletti távoli irányításhoz, valamint az ütemezett feladatok használatát a rosszindulatú DLL-ek oldaltöltéséhez. Manipulálják a helyi rendszergazdai fiókokat a perzisztencia fenntartása és a tevékenységük elrejtése érdekében. A csoport kereskedelmi forgalomban kapható távfelügyeleti és távmenedzsment (RMM) eszközöket is alkalmaz a hálózati támaszpontok megszerzéséhez. Arzenáljukban egyéni keyloggerek, infólopók és különböző PowerShell szkriptek is szerepelnek. A közelmúltbeli támadások a C# hasznos terhek és a Gh0stRAT malware változatainak, köztük a SilentGh0st, InsidiousGh0st, TranslucentGh0st, EtherealGh0st és FluffyGh0st változatainak betöltésére szolgáló msbuild.exe típusú lopakodó eszközökre való áttérést mutatnak.
Az adatok kiszivárogtatásához az Unfading Sea Haze olyan egyedi eszközöket használ, mint a “DustyExfilTool” a biztonságos adatkivonáshoz, és nemrégiben használni kezdte a curl segédprogramot és az FTP protokollt dinamikusan változó hitelesítő adatokkal. A csoport alkalmazkodóképessége, kitartása és a fejlett kijátszási módszerek használata rávilágít az átfogó biztonsági stratégia szükségességére. A szervezeteknek javításkezelést, többfaktoros hitelesítést, hálózati szegmentációt, forgalomfigyelést és fejlett észlelési és válaszmegoldásokat kell bevezetniük az ilyen kifinomult fenyegetések mérséklése érdekében.
(forrás)
