A kínai CL-STA-0048 Dél-Ázsiában kémkedik

A CL-STA-0048 nevű kiberkémkedési kampányt azonosították Dél-Ázsiában, amely értékes célpontokat, köztük egy távközlési szervezetet is érintett. Az akció során ritkán használt technikákat alkalmaztak, például a Hex Staging módszert, amelyben a támadók darabokban juttatták el a rosszindulatú kódokat. Emellett DNS-alapú exfiltrációt hajtottak végre a ping parancs segítségével, valamint az SQLcmd eszközt használták adatlopásra. Az elemzés alapján a támadási módszerek, az infrastruktúra és a célpontok jellege arra utal, hogy a művelet kínai eredetű, és egy államilag támogatott fejlett fenyegetési aktorról (APT) lehet szó.

A kampány elsődleges célja a kormányzati alkalmazottak személyes adatainak megszerzése és érzékeny vállalati információk ellopása volt. A támadók módszeresen próbálták kihasználni az interneten elérhető szerverek sérülékenységeit, különösen az IIS, Apache Tomcat és MSSQL szolgáltatásokat célozva. A Palo Alto Networks szakértői szerint a hasonló fenyegetések elleni védelem érdekében a szervezeteknek rendszeresen frissíteniük kell rendszereiket, valamint betartani az IT-biztonsági legjobb gyakorlatokat. Az elemzés célja, hogy a védelmi szakemberek számára eszközöket biztosítson az ilyen fejlett támadások felismerésére és megelőzésére.

(forrás)