Το “Sharp Panda”, μια εκστρατεία κυβερνοκατασκοπείας που συνδέεται με την Κίνα, έχει επεκτείνει τους στόχους του, συμπεριλαμβάνοντας πλέον κυβερνητικούς οργανισμούς στην Αφρική και την Καραϊβική.
“Αυτή η εκστρατεία κυβερνοκατασκοπείας χρησιμοποιεί το Cobalt Strike Beacon ως ωφέλιμο φορτίο, επιτρέποντας λειτουργίες backdoor όπως η επικοινωνία C2 και η εκτέλεση εντολών, ενώ ταυτόχρονα ελαχιστοποιεί την έκθεση των προσαρμοσμένων εργαλείων τους,” ανέφερε η Check Point σε μια αναφορά που δημοσιεύθηκε στο The Hacker News. “Αυτή η εκλεπτυσμένη τακτική δείχνει μια βαθύτερη κατανόηση των στόχων τους.”
Δείτε ακόμη: ΗΠΑ: Περιορισμοί στην έκδοση Visa σε άτομα που εμπλέκονται με spyware
Η ισραηλινή εταιρεία κυβερνοασφάλειας παρακολουθεί τη δραστηριότητα της νέας απειλής, με την ονομασία Sharp Dragon, περιγράφοντας τον αντίπαλο ως προσεκτικό στη στόχευση και ταυτόχρονα διευρύνοντας τις αναγνωριστικές του προσπάθειες.
Η απειλή αναδείχθηκε για πρώτη φορά τον Ιούνιο του 2021, όταν εντοπίστηκε να στοχεύει μια κυβέρνηση της Νοτιοανατολικής Ασίας, αναπτύσσοντας ένα backdoor σε συστήματα Windows με το όνομα VictoryDLL.
Οι επακόλουθες επιθέσεις από το Sharp Dragon στοχοποίησαν κυβερνητικούς φορείς υψηλού προφίλ στη Νοτιοανατολική Ασία, με σκοπό την παράδοση του backdoor Soul. Αυτό το πλαίσιο χρησιμοποιείται στη συνέχεια για τη λήψη πρόσθετων στοιχείων από έναν διακομιστή που ελέγχεται από τους χάκερς, διευκολύνοντας έτσι τη συλλογή πληροφοριών.
Τα στοιχεία δείχνουν ότι το backdoor Soul αναπτύσσεται από τον Οκτώβριο του 2017, ενσωματώνοντας χαρακτηριστικά από το Gh0st RAT – ένα κακόβουλο λογισμικό που συνδέεται συχνά με διάφορους κινεζικούς παράγοντες απειλής – καθώς και άλλα δημόσια διαθέσιμα εργαλεία.
Μια πρόσφατη σειρά επιθέσεων, που αποδίδονται σε παράγοντες απειλής, στόχευσε υψηλόβαθμους κυβερνητικούς αξιωματούχους των χωρών της G20 τον Ιούνιο του 2023. Αυτό υποδεικνύει τη συνεχή εστίαση σε κυβερνητικούς φορείς για τη συλλογή πληροφοριών.
Το κλειδί για τις επιχειρήσεις του Sharp Panda είναι η αξιοποίηση ευπαθειών ασφαλείας μιας ημέρας (π.χ. CVE-2023-0669) για να διεισδύσουν στην υποδομή και να τη χρησιμοποιήσουν μελλοντικά ως διακομιστές εντολών και ελέγχου (C2). Μια άλλη αξιοσημείωτη πτυχή είναι η χρήση του πλαισίου προσομοίωσης νόμιμου αντιπάλου Cobalt Strike σε συνδυασμό με προσαρμοσμένα backdoors.
Επιπλέον, η πιο πρόσφατη σειρά επιθέσεων που στοχεύουν κυβερνήσεις στην Αφρική και την Καραϊβική δείχνει μια διεύρυνση των αρχικών τους στόχων. Η τακτική περιλαμβάνει τη χρήση παραβιασμένων email υψηλού προφίλ στη Νοτιοανατολική Ασία για την αποστολή phishing emails.
Αυτά τα μηνύματα περιέχουν κακόβουλα συνημμένα που εκμεταλλεύονται το εργαλείο Royal Road Rich Text Format (RTF) για την εγκατάσταση ενός προγράμματος λήψης με την ονομασία 5.t. Το πρόγραμμα αυτό είναι υπεύθυνο για την αναγνώριση και την δημιουργία του Cobalt Strike, επιτρέποντας στους χάκερς να συλλέξουν πληροφορίες σχετικά με το περιβάλλον του στόχου.
Διαβάστε επίσης: Γερμανία: Εντάλματα σύλληψης κατά ατόμων για κινεζική κατασκοπεία
Η χρήση του Cobalt Strike ως backdoor όχι μόνο μειώνει την έκθεση των προσαρμοσμένων εργαλείων, αλλά προτείνει επίσης μια πιο «εξευγενισμένη προσέγγιση για την αξιολόγηση του στόχου», όπως ανέφερε η Check Point.
Ως ένδειξη της συνεχούς βελτίωσης των τακτικών του από τον παράγοντα απειλής, έχουν πρόσφατα παρατηρηθεί σειρές επιθέσεων που χρησιμοποιούν εκτελέσιμα αρχεία μεταμφιεσμένα ως έγγραφα για να ξεκινήσουν τη μόλυνση. Αυτή η μέθοδος διαφέρει από την προηγούμενη, όπου βασίζονταν σε ένα έγγραφο Word που χρησιμοποιούσε απομακρυσμένο πρότυπο για να κατεβάσει ένα RTF αρχείο με κακόβουλο περιεχόμενο.
Η στρατηγική επέκταση του Sharp Dragon στην Αφρική και την Καραϊβική αποτελεί μέρος μιας ευρύτερης προσπάθειας από Κινέζους κυβερνοεγκληματίες να ενισχύσουν την παρουσία και την επιρροή τους σε αυτές τις περιοχές.
Τα ευρήματα δημοσιεύονται την ίδια ημέρα που η Palo Alto Networks αποκάλυψε λεπτομέρειες για την εκστρατεία με την κωδική ονομασία “Operation Diplomatic Spectre,” η οποία στοχεύει διπλωματικές αποστολές και κυβερνήσεις στη Μέση Ανατολή, την Αφρική και την Ασία από τα τέλη του 2022. Οι επιθέσεις αποδίδονται σε κινεζική ομάδα απειλών με την ονομασία TGR-STA-0043 (πρώην CL-STA-0043).
Η απόφαση του Sharp Dragon να μεταφέρει τις δραστηριότητές του στην Αφρική αποτελεί μέρος της ευρύτερης στρατηγικής της Κίνας για την επέκταση της επιρροής της σε ολόκληρη την ήπειρο.
«Αυτές οι επιθέσεις συνάδουν εμφανώς με την ευρύτερη στρατηγική ήπιας δύναμης και τεχνολογικής ατζέντας της Κίνας στην περιοχή, με έμφαση σε κρίσιμους τομείς όπως οι τηλεπικοινωνίες, τα χρηματοπιστωτικά ιδρύματα και οι κυβερνητικοί φορείς», σύμφωνα με τον ερευνητή ασφαλείας της SentinelOne, Tom Hegel.
Η εξέλιξη αυτή ακολουθεί μια έκθεση της Mandiant, που ανήκει στη Google, η οποία τόνιζε τη χρήση δικτύων μεσολάβησης από την Κίνα. Αυτά αναφέρονται ως δίκτυα λειτουργικών αναμεταδοτών (ORBs) και χρησιμοποιούνται για να αποκρύψουν την προέλευσή τους κατά τη διεξαγωγή κατασκοπευτικών επιχειρήσεων, επιτυγχάνοντας έτσι υψηλότερη επιτυχία στην απόκτηση και διατήρηση πρόσβασης σε πολύτιμα δίκτυα.
«Η δημιουργία δικτύων χακαρισμένων συσκευών επιτρέπει στους διαχειριστές δικτύων ORB να επεκτείνουν εύκολα το μέγεθος του δικτύου τους με ελάχιστη προσπάθεια, δημιουργώντας ένα συνεχώς εξελισσόμενο πλέγμα που μπορεί να χρησιμοποιηθεί για την απόκρυψη κατασκοπευτικών δραστηριοτήτων», δήλωσε ο ερευνητής της Mandiant, Michael Raggi.
Ένα δίκτυο με την ονομασία ORB3 (γνωστό και ως SPACEHOP) φέρεται να έχει αξιοποιηθεί από πολλούς παράγοντες απειλής με σύνδεση στην Κίνα, συμπεριλαμβανομένων των APT5 και APT15. Επιπλέον, ένα άλλο δίκτυο, το FLORAHOX, το οποίο περιλαμβάνει συσκευές στρατολογημένες από το εμφύτευμα δρομολογητή FLOWERWATER, έχει χρησιμοποιηθεί από την APT31.
Δείτε περισσότερα: Το «eXotic Visit» spyware στοχεύει Android χρήστες σε Ινδία και Πακιστάν
“Η χρήση των δικτύων ORB για τη διακίνηση μεσολάβησης σε ένα παραβιασμένο δίκτυο δεν αποτελεί νέα τακτική, ούτε είναι αποκλειστική στους φορείς κυβερνοκατασκοπείας που συνδέονται με την Κίνα”, δήλωσε ο Raggi. «Παρακολουθούμε τους φορείς κυβερνοκατασκοπείας που συνδέονται με την Κίνα να χρησιμοποιούν αυτές τις μεθόδους ως μέρος μιας ευρύτερης εξέλιξης προς πιο στρατηγικές, μυστικές και αποτελεσματικές επιχειρήσεις».
Πηγή: thehackernews
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/566130/ekstrateia-kyvernokataskopeias-stoxevei-afrikh-kai-karaivikh/&media=https://www.secnews.gr/wp-content/uploads/2024/05/kyvernokataskopeia-ekstrateia-kina.png&description=Το "Sharp Panda", μια εκστρατεία κυβερνοκατασκοπείας που συνδέεται με την Κίνα, έχει επεκτείνει τους στόχους του, συμπεριλαμβάνοντας πλέον κυβερνητικούς οργανισμούς στην Αφρική και την Καραϊβική.){kind=link}