Από τις αρχές του 2023, Κινέζοι hackers που ειδικεύονται στην κυβερνοκατασκοπεία, έχουν βάλει στο στόχαστρό του παρόχους τηλεπικοινωνιών της Μέσης Ανατολής. Οι hackers πιθανότατα συνδέονται και με την παλιότερη επιχείρηση Operation Soft Cell.
Οι ερευνητές της SentinelOne ονόμασαν το τελευταίο κύμα επιθέσεων “Operation Tainted Love“. Πρόκειται για μια ολοκληρωμένη προσπάθεια κυβερνοκατασκοπείας που διαθέτει προηγμένες ικανότητες κλοπής credentials, καθώς και έναν εντελώς νέο μηχανισμό malware dropper.
Δείτε επίσης: Phishing εκστρατεία εκμεταλλεύεται το SharePoint για να στοχεύσει χρήστες σε ΗΠΑ και Ευρώπη
“Η αρχική φάση της επίθεσης περιλαμβάνει διείσδυση σε Microsoft Exchange servers για την ανάπτυξη web shells που χρησιμοποιούνται για την εκτέλεση εντολών“, έγραψε ο ανώτερος ερευνητής απειλών του SentinelOne, Aleksandar Milenkoski. Αργότερα, οι επιτιθέμενοι διεξάγουν διάφορες δραστηριότητες, όπως reconnaissance, κλοπή credentials, lateral movement σε δίκτυα και κλοπή δεδομένων.
Η ανάπτυξη custom κακόβουλου λογισμικού κλοπής credentials είναι κεντρική σε αυτήν τη νέα καμπάνια. Bασίζεται σε κακόβουλο λογισμικό που ενσωματώνει τροποποιήσεις στον κώδικα του Mimikatz post-exploitation tool.
Η SentinelOne ανέλυσε ένα δείγμα του νέου malware (το οποίο ονόμασε “mim221”), που διαθέτει ενισχυμένες δυνατότητες αντι-ανίχνευσης.
“Η χρήση special-purpose modules που εφαρμόζουν μια σειρά προηγμένων τεχνικών, δείχνει την αφοσίωση των παραγόντων απειλών στην προώθηση του σετ εργαλείων τους με μεγάλη μυστικότητα“, εξήγησε ο Milenkoski.
Ο ερευνητής ασφάλειας διευκρίνισε ότι ενώ φαίνεται να υπάρχει σύνδεση με την παλιότερη Operation Soft Cell, η νέα εκστρατεία δεν μπορεί να συσχετιστεί με σιγουριά με έναν συγκεκριμένο παράγοντα απειλής.
Σύμφωνα με τον ειδικό, αυτή η καμπάνια έχει συσχετιστεί δημόσια με την ομάδα Gallium και μπορεί να υπάρχει σύνδεση και με τους hackers APT41 λόγω ενός κοινού code signing certificate και εργαλείων με κοινά στοιχεία κώδικα. Αξίζει να σημειωθεί ότι η APT41 στοχεύει επίσης παρόχους τηλεπικοινωνιών.
Δείτε επίσης: Το BlackGuard stealer στοχεύει τώρα 57 crypto wallets, extensions
Όπως και να έχει, ο Milenkoski πιστεύει ότι οι (Κινέζοι) hackers πίσω από το νέο Operation Tainted Love πιθανότατα θα συνεχίσουν να αναβαθμίζουν το κακόβουλο λογισμικό τους και να στοχεύουν οργανισμούς στη Μέση Ανατολή.
“Αυτοί οι φορείς απειλών θα συνεχίσουν σχεδόν σίγουρα την εξερεύνηση και την αναβάθμιση των εργαλείων τους με νέες τεχνικές για την αποφυγή ανίχνευσης…“, έγραψε.
Η SentinelLabs συνεχίζει να παρακολουθεί τις δραστηριότητες κατασκοπείας.
Δείτε επίσης: Πώς να προστατευτείτε από hackers – Tips για ασφάλεια συσκευών & accounts
Περισσότερες λεπτομέρειες για αυτή τη νέα εκστρατεία, μπορείτε να βρείτε στην έκθεση της SentinelOne.
Η κατασκοπεία στον κυβερνοχώρο έχει γίνει μια ολοένα και πιο σημαντική απειλή στην ψηφιακή εποχή και είναι απαραίτητο να ληφθούν μέτρα για την ανίχνευση και την πρόληψή της. Οι εγκληματίες του κυβερνοχώρου, οι κρατικά υποστηριζόμενες ομάδες και οι hackers χρησιμοποιούν διάφορες μεθόδους και τεχνικές για να κλέψουν πολύτιμη πνευματική ιδιοκτησία και εμπιστευτικές πληροφορίες. Για να αποτρέψουν τις δραστηριότητες κατασκοπείας στον κυβερνοχώρο, οι οργανισμοί πρέπει να εφαρμόζουν ισχυρό λογισμικό ασφαλείας, να διενεργούν τακτικούς ελέγχους και να εφαρμόζουν ισχυρές πολιτικές κωδικών πρόσβασης.
Πηγή: www.infosecurity-magazine.com