Daxin backdoor
A Symantec Threat Hunter Team kutatói ismét azonosították a Daxin rendkívül fejlett backdoor-t, amelyet a kínai BlackTech (Palmerworm, Circuit Panda) kiberkémkedő csoporthoz kötnek. A Daxin először 2022-ben került nyilvánosságra, azonban a most vizsgált tajvani félvezetőipari vállalat hálózatában olyan komponenseket találtak, amelyek fordítási időbélyege 2013-ra utal. A támadók valószínűleg egy internet felől elérhető, elavult Digiwin Enterprise+ SSO kiszolgálón keresztül jutottak be, amely támogatását évekkel korábban megszüntették. A hálózatban több mint egy évtizeden keresztül észrevétlenül működő infrastruktúra arra utal, hogy a csoport hosszú távú hírszerzési hozzáférés fenntartására törekedett, nem pedig gyors adatlopásra.
A Daxin egyik legfontosabb sajátossága, hogy nem hagyományos C2 szerverrel kommunikál, ehelyett a hálózaton már meglévő legitim TCP-kapcsolatokba ágyazza be saját titkosított forgalmát (TCP hijacking), ezért a kommunikáció normál alkalmazásforgalomnak látszik. Emellett proxyként használja a kompromittált gépeket, így több ugrásból álló láncot alakít ki, amelyen keresztül olyan belső rendszerek is elérhetők, amelyek közvetlen internetkapcsolattal nem rendelkeznek. Ez a működés jelentősen megnehezíti a hálózati észlelést, mivel a Daxin nem nyit új kapcsolatokat, hanem a meglévőket használja fel.
A kutatók egy eddig nem dokumentált komponenst is felfedeztek Stupig néven. A kártevő a Windows billentyűzetkiosztás-kezelő mechanizmusát használja perzisztenciára, egy rosszindulatú DLL-t regisztrál billentyűzetkiosztásként, amelyet a winlogon.exe már a bejelentkezési folyamat elején betölt. A Stupig egy rejtett backdoor login funkciót is tartalmaz. Ha a bejelentkezési képernyőn a felhasználónév stupig előtaggal kezdődik (például stupig whoami vagy stupig cmd.exe), a mögötte lévő karakterláncot a kártevő SYSTEM jogosultsággal parancsként hajtja végre, miközben a Windows csupán egy sikertelen bejelentkezési kísérletet naplóz. A komponens emellett API-hookok segítségével hitelesítő adatokat is képes gyűjteni, valamint előkészíti egy további DLL dinamikus betöltését.
Bár a Daxin és a Stupig között nincs közvetlen kódegyezés, a Symantec szerint ugyanazon infrastruktúra, a közel azonos fejlesztési időszak, a közös célpont és a hasonló működési módszerek nagy valószínűséggel ugyanahhoz a BlackTech művelethez kötik őket. A fejlett állami kiberkémkedő csoportok akár évtizedes időtávon is képesek fenntartani rejtett hozzáférésüket stratégiai célpontok hálózataiban, miközben olyan egyedi technikákat alkalmaznak, amelyek a hagyományos C2-forgalom és a szokásos perzisztencia-mechanizmusok észlelését is megkerülik.