Kısa bir aradan sonra, Alaşım Taurus APT (namı diğer Gallium veya Operation Soft Cell), PingPull kötü amaçlı yazılımının yeni bir Linux çeşidiyle sahneye geri döndü.
Alaşım Boğa bir Çinli ulus devlete bağlı tehdit aktörü, en az 2012'den beri, ancak 2019'dan beri yalnızca gündemde. Casusluğa odaklanıyor ve en çok büyük telekomünikasyon sağlayıcılarını hedef almasıyla biliniyor.
Geçen Haziran ayında bir blog yazısında, Palo Alto Networks' Ünite 42, orijinalin ayrıntılarını yayınladı, PingPull'un Windows sürümü. Bu, sahibinin güvenliği ihlal edilmiş bir hedef bilgisayarda komutları çalıştırmasını ve bir ters kabuğa erişmesini sağlayan Visual C++ tabanlı bir uzaktan erişim Truva Atı'ydı (RAT).
Alaşım Boğa 2022'nin ikinci yarısında darbe aldı, ama şimdi tamamen geri döndü. Unit 42'nin baş araştırmacısı Pete Renals, "PingPull'un Windows sürümünü yaktılar," diye açıklıyor, "ve farklı bir değişkene geçme konusunda bir dereceye kadar uzmanlık gösteren yeni bir yetenek geliştirdiler."
Linux varyantı, Windows atası ile büyük ölçüde örtüşüyor ve saldırganların komutları çalıştırmanın yanı sıra dosyaları listelemesine, okumasına, yazmasına, kopyalamasına, yeniden adlandırmasına ve silmesine izin veriyor. İlginç bir şekilde, PingPull ayrıca bazı işlevleri, HTTP parametrelerini ve komut işleyicilerini PingPull ile paylaşır. China Chopper Web kabuğu rezil bir şekilde konuşlandırılmış Microsoft Exchange Sunucularına yönelik 2021 saldırıları.
Alaşım Boğa'nın Düşüşü
Alloy Taurus, 2018-2019'da dünya çapındaki büyük telekomünikasyon sağlayıcılarına karşı cesur casusluk kampanyalarıyla sahneye çıktı. Gibi Cybereason açıkladı Haziran 2019'daki o zamanki blog gönderisinde, "tehdit aktörü, diğer kişisel olarak tanımlanabilir bilgiler, fatura verileri, arama ayrıntısı kayıtları ile birlikte kuruluştaki her bir kullanıcı adı ve şifreyi ele geçirerek aktif dizinde depolanan tüm verileri çalmaya çalışıyordu. , kimlik bilgileri, e-posta sunucuları, kullanıcıların coğrafi konumu ve daha fazlası.”
Renals, diğer Çin devlet düzeyindeki APT'lerle karşılaştırıldığında bile "oldukça olgun ve oldukça ciddi" değerlendirmesinde bulunuyor. "Bir AT&T veya Verizon veya Deutsche Telekom'a girme, dikkat çekmeme ve yönlendirici yapılandırmalarını değiştirme yeteneği, belirli bir uzmanlık derecesi gerektirir. Bu hiçbir şekilde, şekil veya biçimde sizin genç üniversite takımınız değil.
Ancak araştırmacıların yakın zamanda keşfettiği gibi, Alaşımlı Boğa yenilmez değildi.
Unit 2021, Haziran blog gönderisinde, grubun 2022'in sonlarında ve 42'nin başlarında PingPull Windows RAT'ını birden çok kampanyada kullanarak yüksekten uçtuğunu belirtti. Telekomünikasyon şirketlerinin yanı sıra Afganistan, Avustralya, Belçika, Kamboçya, Malezya, Mozambik, Filipinler, Rusya ve Vietnam'da bulunan askeri ve hükümet kuruluşlarını da hedef aldı.
Renals, "Haziran ayında yayımlamamızdan yalnızca üç ila beş gün sonra, raporda yer alan tüm altyapılarını terk etmelerini izledik" diyor Renals. "Belirli bir hükümete ve Güneydoğu Asya'ya işaret edecek şekilde her şeyi değiştirdiler - böylece tüm işaret verici implantlar ve tüm kurbanlar başka bir ülkeye yönlendirildi - ve temelde hepsini ellerinden sildiler."
Alaşım Boğa'nın Dönüşü
Alaşımlı Boğa tamamen ortadan kaybolmamıştı ama kesinlikle geri çekilmişti. Renals, "Toprakta yaşıyorlardı" diye açıklıyor. "Çekirdek yukarı akış altyapısının bir kısmı açık ve çalışır durumda kaldı."
Aralık ayında araştırmacılar yeni yaşam belirtileri bulduklarında zafer kısa sürdü. Ve Mart ayında, eski PingPull kötü amaçlı yazılımının bir Linux örneğini ele geçirdiler. Renals, "Olgun bir APT'nin çok hızlı yanıt verme ve uyum sağlama yeteneğini gösteriyor" diyor.
APT'lerin yeni biçimlerde bu kadar zahmetsizce geri dönebilmesi, siber savunucular için bir muamma sunuyor. Yarın yeni makyajla geri dönebilecekse, bugün Alaşım Taurus gibi bir gruba karşı nasıl korunabilir?
Renals, "Belirli uzlaşma göstergelerini (IoC'ler) izleme günlerinin büyük ölçüde geride kaldığını düşünüyorum" diyor. "Artık daha çok teknikleri ve taktikleri takip etmek ve bu tür faaliyetleri tespit etmek için davranış analitiğine sahip olmakla ilgili. Uç noktayı değiştirdiğimiz yer burası, ağ güvenliğini de burada değiştiriyoruz.”
Yeni PingPull'u keşfetmenin, sofistike APT'leri çözmenin bu daha iyi yolu için bir örnek olduğuna inanıyor. "Linux varyantı ile başlangıçta onu zararsız olarak değerlendirmiş olabiliriz. Sonra ona baktık ve 'Hey, bir dakika' dedik. Bu, kötü niyetli başka bir şeye çok benzer özelliklere sahiptir. Bir insan gidip buna baksın.' Dolayısıyla, bu yeteneğe sahip olmak çok önemlidir.”
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
- Adryenn Ashley ile Geleceği Basmak. Buradan Erişin.
- Kaynak: https://www.darkreading.com/endpoint/linux-chinese-apt-alloy-taurus-back-retooling
