Δύο κινέζικες ομάδες APT, παρατηρήθηκαν να στοχεύουν με επιθέσεις, οντότητες και χώρες-μέλη που συσχετίζονται με τον Σύνδεσμο των Νοτιοανατολικών Ασιατικών Εθνών (ASEAN) ως μέρος μιας καμπάνιας κυβερνοκατασκοπίας τους τελευταίους τρεις μήνες.
Δείτε επίσης: Επιθέσεις Privilege elevation: Πάνω από 50% των εσωτερικών επιθέσεων
Η μία από τις κινέζικες APT που είναι γνωστή ως Mustang Panda, συνδέθηκε πρόσφατα με επιθέσεις κατά του Μιανμάρ, καθώς και άλλων ασιατικών χωρών, χρησιμοποιώντας μια παραλλαγή του backdoor PlugX (επίσης γνωστή ως Korplug) με την ονομασία DOPLUGS.
H Mustang Panda, που αποκαλείται επίσης Camaro Dragon, Earth Preta και Stately Taurus, πιστεύεται ότι έχει στοχοποιήσει οντότητες στο Μιανμάρ, τις Φιλιππίνες, την Ιαπωνία και τη Σιγκαπούρη, επιχειρώντας να τις κατασκοπεύσει με email phishing σχεδιασμένα να μεταφέρουν δύο πακέτα κακόβουλου λογισμικού.
Ένα από τα πακέτα κακόβουλου λογισμικού είναι ένα αρχείο ZIP που περιέχει ένα εκτελέσιμο αρχείο (“Talking_Points_for_China.exe“), το οποίο όταν εκκινείται, φορτώνει ένα αρχείο DLL (“KeyScramblerIE.dll“) και τελικά εφαρμόζει ένα γνωστό κακόβουλο λογισμικό με το όνομα PUBLOAD, ένα downloader που παλαιότερα χρησιμοποιήθηκε για την απόθεση του PlugX.
Είναι σημαντικό να αναφέρουμε ότι το δυαδικό αρχείο είναι μια μετονομασμένη αντιγραφή ενός νόμιμου λογισμικού που ονομάζεται KeyScrambler.exe και είναι ευάλωτο σε side-loading των DLL.
Το δεύτερο πακέτο από την άλλη, είναι ένα εκτελέσιμο οθόνης (“Note PSO.scr“) που χρησιμοποιείται για να ανακτήσει κακόβουλο κώδικα επόμενου σταδίου από μια απομακρυσμένη διεύθυνση IP, συμπεριλαμβανομένου ενός ακίνδυνου προγράμματος υπογεγραμμένου από μια εταιρεία βιντεοπαιχνιδιών με τη μετονομασία WindowsUpdate.exe και ενός ψευδούς DLL που εκκινείται χρησιμοποιώντας την ίδια τεχνική όπως πριν.
Δείτε ακόμα: Οι hackers στρέφονται σε centralized exchanges για επιθέσεις crypto
Η Unit 42 ανέφερε ότι εντόπισε επίσης δικτυακή κίνηση μεταξύ μιας οντότητας συνδεδεμένης με το ASEAN και της υποδομής C2 μίας δεύτερης κινεζικής APT, υποδεικνύοντας μια παραβίαση του περιβάλλοντος του θύματος. Αυτή η ομάδα απειλών, έχει εντοπιστεί σε παρόμοιες επιθέσεις που στοχεύουν την Καμπότζη.
Τα ευρήματα έρχονται μία εβδομάδα μετά το ρεπορτάζ της Trend Micro για ένα νέο απειλητικό δράστη από την Κίνα με το όνομα Earth Krahang, ο οποίος έχει στοχοποιήσει 116 οντότητες σε 35 χώρες, εκμεταλλευόμενος την τεχνική του spear-phishing και τα σφάλματα σε δημόσιους διακομιστές Openfire και Oracle για τη μεταφορά εξατομικευμένου κακόβουλου λογισμικού όπως τα PlugX, ShadowPad, ReShell και DinodasRAT (επίσης γνωστό ως XDealer).
Οι πρώτες επιθέσεις των κινέζικων APT, χρονολογούνται από τις αρχές του 2022, με την ομάδα να χρησιμοποιεί μια συνδυασμένη προσέγγιση για την σάρωση ευαίσθητων δεδομένων.
Η Earth Krahang, η οποία επικεντρώνεται στη Νοτιοανατολική Ασία, επιδεικνύει επίσης κάποιο επίπεδο επικάλυψης με έναν άλλο απειλητικό παράγοντα που εντοπίζεται ως Earth Lusca (επίσης γνωστό ως RedHotel). Και οι δύο συνόλες εισβολής πιθανότατα διαχειρίζονται από τον ίδιο απειλητικό παράγοντα και συνδέονται με έναν κινεζικό κρατικό ανάδοχο με την ονομασία I-Soon.
Δείτε επίσης: Hackers εκμεταλλεύονται τη Venmo για phishing επιθέσεις
Οι επιθέσεις των κινέζικων APT μπορούν να έχουν σοβαρές συνέπειες στην παγκόσμια κοινότητα. Πρώτον, μπορούν να προκαλέσουν σημαντικές οικονομικές απώλειες. Αυτό μπορεί να οφείλεται στην κλοπή πνευματικών δικαιωμάτων, την κλοπή προσωπικών δεδομένων ή την καταστροφή ψηφιακής υποδομής. Δεύτερον, οι επιθέσεις αυτές μπορούν να προκαλέσουν σοβαρές πολιτικές εντάσεις. Η κυβερνοεπίθεση μπορεί να θεωρηθεί ως επίθεση στην εθνική ασφάλεια ενός κράτους, οδηγώντας σε διπλωματικές εντάσεις ή ακόμη και σε σύγκρουση. Τρίτον, οι επιθέσεις των κινέζικων χάκερ μπορούν να έχουν σοβαρές συνέπειες για την ιδιωτικότητα των ατόμων. Η κλοπή προσωπικών δεδομένων μπορεί να οδηγήσει σε παραβιάσεις της ιδιωτικής ζωής, ενώ η διαρροή ευαίσθητων πληροφοριών μπορεί να έχει μακροπρόθεσμες συνέπειες για τα θύματα. Τέλος, οι επιθέσεις αυτές μπορούν να υπονομεύσουν την εμπιστοσύνη στην ψηφιακή τεχνολογία.
Πηγή: thehackernews
