Κινέζοι hackers (Gallium) αναπτύσσουν νέες παραλλαγές Linux malware σε επιθέσεις κυβερνοκατασκοπείας, συμπεριλαμβανομένης μιας νέας παραλλαγής του PingPull RAT και ενός νέου backdoor που παρακολουθείται ως “Sword2033“.
Το PingPull RAT εντοπίστηκε για πρώτη φορά από τη Unit 42 το περασμένο καλοκαίρι. Χρησιμοποιούνταν σε επιθέσεις κατασκοπείας που πραγματοποιήθηκαν από την κινεζική κρατική ομάδα Gallium, γνωστή και ως Alloy Taurus. Οι επιθέσεις είχαν στόχο κυβερνητικούς και οικονομικούς οργανισμούς στην Αυστραλία, τη Ρωσία, το Βέλγιο, τη Μαλαισία, το Βιετνάμ και τις Φιλιππίνες.
Οι ερευνητές ασφαλείας συνέχισαν να παρακολουθούν αυτές τις επιθέσεις και διαπίστωσαν ότι οι Κινέζοι hackers χρησιμοποιούν τώρα νέες παραλλαγές malware εναντίον στόχων στη Νότια Αφρική και το Νεπάλ.
Δείτε επίσης: Η VMware διορθώνει κρίσιμο zero-day exploit chain
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
PingPull RAT: Παραλλαγή Linux
Η παραλλαγή Linux του PingPull RAT είναι ένα αρχείο ELF. Αξίζει να σημειωθεί ότι μόνο 3 από τους 62 προμηθευτές προστασίας από ιούς το επισημαίνουν αυτήν τη στιγμή ως κακόβουλο.
Οι ερευνητές κατάφεραν να προσδιορίσουν ότι είναι ένα port του γνωστού κακόβουλου λογισμικού των Windows, αφού παρατήρησαν ομοιότητες σε HTTP communication structure, POST parameters, AES key και σε εντολές που λαμβάνει από τον C2 server των επιτιθέμενων.
Οι εντολές που στέλνει ο C2 στο κακόβουλο λογισμικό των Gallium hackers υποδεικνύονται με έναν μόνο κεφαλαίο χαρακτήρα στο HTTP parameter και το payload επιστρέφει τα αποτελέσματα στον διακομιστή μέσω ενός request με κωδικοποίηση base64.
Τα parameters και οι αντίστοιχες εντολές είναι:
A – Get the current directory
B – List folder
C – Read text file
D – Write a text file
E – Delete file or folder
F – Read binary file, convert to hex
G – Write binary file, convert to hex
H – Copy file or folder
I – Rename a file
J – Create a Directory
K – Timestamp file with a specified timestamp in “%04d-%d-%d %d:%d:%d” format
M – Run command
Η Unit 42 παρατήρησε ότι τα command handlers που χρησιμοποιούνται στο PingPull ταιριάζουν με εκείνα που παρατηρούνται σε ένα άλλο κακόβουλο λογισμικό που ονομάζεται “China Chopper“. Αυτό ήταν ένα web shell που χρησιμοποιείται σε μεγάλο βαθμό σε επιθέσεις κατά Microsoft Exchange servers.
Δείτε επίσης: Intel CPU είναι ευάλωτοι σε νέα επίθεση πλευρικού καναλιού
Sword2023 backdoor
Η Unit 42 βρήκε, όπως είπαμε και παραπάνω, και ένα νέο ELF backdoor που επικοινωνούσε με τον ίδιο command and control server (C2) με το PingPull. Αυτό είναι ένα απλούστερο εργαλείο με πιο βασικές λειτουργίες.
Οι ερευνητές ανακάλυψαν και ένα δεύτερο δείγμα Sword2023 που σχετίζεται με μια διαφορετική διεύθυνση C2 που υποδύεται τον στρατό της Νότιας Αφρικής. Το ίδιο δείγμα συνδέθηκε με μια διεύθυνση VPN Soft Ether, ένα προϊόν που είναι γνωστό ότι χρησιμοποιούν οι hackers Gallium στις δραστηριότητές του.
Η εταιρεία κυβερνοασφάλειας σχολιάζει ότι αυτή δεν είναι μια τυχαία επιλογή, καθώς τον Φεβρουάριο του 2023, η Νότια Αφρική συμμετείχε σε κοινές στρατιωτικές ασκήσεις με τη Ρωσία και την Κίνα.
Οι Κινέζοι hackers Gallium φαίνεται πως αναπτύσσουν συνεχώς τις τακτικές και τα “όπλα” τους, ενώ ταυτόχρονα διευρύνουν το εύρος στόχων του χρησιμοποιώντας τις νέες παραλλαγές Linux του PingPull RAT και το πρόσφατα ανακαλυφθέν Sword2023 backdoor.
Δείτε επίσης: Νέο SLP bug οδηγεί σε ενισχυσμένες επιθέσεις DDOS
Οι οργανισμοί και οι επιχειρήσεις πρέπει να υιοθετήσουν μια ολοκληρωμένη στρατηγική ασφάλειας για την αποτελεσματική αντιμετώπιση αυτής της απειλής. Στην εποχή της τεχνολογίας και των ψηφιακών δεδομένων, είναι σχεδόν αδύνατο να μείνει κανείς απρόσβλητος από κυβερνοεπιθέσεις. Καθημερινά ακούμε για περιστατικά ασφαλείας και παραβιάσεις δεδομένων. Οι hackers βρίσκονται παντού, αναζητώντας αδύναμα σημεία στο σύστημά σας για να τα εκμεταλλευτούν, γι’ αυτό είναι σημαντικό να λάβετε μέτρα για την προστασία των δεδομένων, των ηλεκτρονικών λογαριασμών και άλλων ψηφιακών assets.
Πηγή: www.bleepingcomputer.com