Kínai 2021 óta célozza az ázsiai távközlési szolgáltatókat

Kínai kiberkémkedő csoportok egy meg nem nevezett ázsiai országban legalább 2021 óta tartó, távközlési szolgáltatókat beszivárgó, elhúzódó kampányhoz kapcsolódnak. A Symantec Threat Hunter Team jelentése szerint a támadók hátsó ajtókat helyeztek el, és megpróbáltak hitelesítő adatokat lopni ezen célzott vállalatok hálózataiból. A bizonyítékok arra utalnak, hogy a rosszindulatú tevékenységek már 2021-ben elkezdődhettek. A kampány kiterjedt egy telekommunikációs szektorhoz kapcsolódó szolgáltató vállalatra és egy másik ázsiai országban található egyetemre is.

A kiberkémkedési kampányban olyan kínai csoportokhoz köthető eszközöket és technikákat használtak, mint a Mustang Panda, a RedFoxtrot és a Naikon. Ezek az eszközök olyan egyedi hátsó ajtókat tartalmaztak, mint a COOLCLIENT, a QUICKHEAL és a RainyDay, amelyek alkalmasak érzékeny adatok rögzítésére és a parancs- és vezérlő szerverekkel való kommunikációra. A támadók portolvasó eszközöket is alkalmaztak, és a Windows Registry hive dömpingje révén hitelesítő adatokat loptak. A több ellenséges csoporthoz kapcsolódó eszközök bevonása kérdéseket vet fel azzal kapcsolatban, hogy ezeket a támadásokat függetlenül, együttműködéssel vagy egyetlen szereplő végezte-e, aki megszerzett eszközöket használt. A behatolások indítékai továbbra sem világosak, de a lehetőségek között szerepel a hírszerzés, a lehallgatás vagy a kritikus infrastruktúra elleni bomlasztó képességek kiépítése.

(forrás)