APT41: KeyPlug Backdoor fenyegeti az olasz iparágakat
A Tinexta Cyber Zlab Malware Team nemrég felfedezett egy KeyPlug nevű hátsó ajtót, amelyet a hírhedt APT41 csoport használt különböző olasz iparágak elleni támadásokban. A Kínából származó APT41, amely számos álnévvel is ismert, mint például Amoeba és Wicked Panda, több ágazatot célzó, összetett kiberkampányairól híres. A KeyPlug backdoor, amely Windows és Linux operációs rendszereket is képes megcélozni, konfigurációjától függően különböző kommunikációs protokollokat használ. A robusztus biztonsági intézkedések, például tűzfalak, NIDS és EDR jelenléte ellenére a végpontokon a KeyPlug ellenállónak bizonyult a megtámadott rendszerekbe való beszivárgásban és azokban való jelenlétének fenntartásában.
A Tinexta Cyber elemzése feltárta, hogy a KeyPlug Windows-változata egy .NET keretrendszer betöltőjén keresztül kezdi a fertőzést, amely egy másik fájlt AES titkosítással dekódol. Ez a dekódolt hasznos teher, amely szerkezeti hasonlóságokat mutat a Mandiant APT41-ről szóló jelentéseiben leírt rosszindulatú szoftverekkel, megerősíti a csoport érintettségét. A KeyPlug Linux-változata még összetettebb, a VMProtectet használja, és olyan technikákat alkalmaz, amelyek megzavarják a rosszindulatú programok elemzését, például a hasznos kód dekódolását a végrehajtás során, és a syscall fork segítségével történő újraindítást. Emellett a kiber-hírszerzés az APT41 és a kínai I-Soon vállalat közötti lehetséges kapcsolatot is feltételezte, különösen a kínai közbiztonsági minisztérium jelentős adatszivárgását követően.
Az APT41 kifinomult kémkedési taktikái komoly veszélyt jelentenek az ipari ágazatokra, különösen a fejlett technológiával vagy stratégiai információkkal foglalkozó ágazatokra. A csoport képessége, hogy hosszabb ideig észrevétlen maradjon a rendszereken belül, megkönnyíti a szellemi tulajdon, üzleti titkok és érzékeny adatok ellopását, ami jelentős gazdasági veszteségekhez, hírnévkárosodáshoz és nemzetbiztonsági fenyegetésekhez vezet. A KeyPlug közelmúltbeli felfedezése és az I-Soon adatszivárgása ügyében folyó nyomozás rávilágít arra, hogy az ilyen fejlett, tartós fenyegetések elleni küzdelem érdekében fokozott kiberbiztonsági intézkedésekre van szükség.
(forrás)
(forrás)
