Οι Κινέζοι hackers APT41 (γνωστοί και ως Brass Typhoon, Earth Baku, Wicked Panda ή Winnti) έχουν συνδεθεί με επιθέσεις στις βιομηχανίες των τυχερών παιχνιδιών και του gaming.
“Μέσα σε μια περίοδο τουλάχιστον έξι μηνών, οι εισβολείς συγκέντρωσαν πολύτιμες πληροφορίες από τη στοχευμένη εταιρεία, συμπεριλαμβανομένων network configurations, κωδικών πρόσβασης χρηστών και μυστικών από το LSASS process“, δήλωσε ο Ido Naor, συνιδρυτής και Διευθύνων Σύμβουλος της Security Joes.
Σύμφωνα με τους ερευνητές, οι επιτιθέμενοι ενημέρωναν συνεχώς τα εργαλεία τους. “Παρατηρώντας τις ενέργειες των υπερασπιστών δικτύων, άλλαξαν τις στρατηγικές και τα εργαλεία τους για να παρακάμψουν τον εντοπισμό και να διατηρήσουν μόνιμη πρόσβαση στο παραβιασμένο δίκτυο“.
Δείτε επίσης: Ποια εργαλεία χρησιμοποιούνται από την ομάδα Hacker APT41
Οι ερευνητές παρατήρησαν μια επίθεση πολλαπλών σταδίων, η οποία διήρκεσε σχεδόν εννέα μήνες και παρουσίαζε κοινά στοιχεία με την επιχείρηση Operation Crimson Palace, που παρακολούθησε η Sophos.
Ο Naor είπε ότι η εταιρεία απάντησε στο περιστατικό πριν από τέσσερις μήνες. “Αυτή τη φορά υποψιαζόμαστε με μεγάλη σιγουριά ότι οι hackers APT41 είχαν οικονομικό όφελος“.
Η καμπάνια είχε σχεδιαστεί με γνώμονα τη μυστικότητα. Η ομάδα χρησιμοποίησε ένα custom σύνολο εργαλείων που όχι μόνο παρέκαμψε το λογισμικό ασφαλείας, αλλά συνέλεξε κρίσιμες πληροφορίες και δημιούργησε κρυφά κανάλια για μόνιμη απομακρυσμένη πρόσβαση.
Η Security Joes εξήγησε ότι οι Κινέζοι hackers APT41 είναι εξαιρετικά μεθοδικοί και με πολλές γνώσεις. Πραγματοποιούν επιθέσεις κατασκοπείας και supply chain, οδηγώντας σε κλοπή πνευματικής ιδιοκτησίας και εισβολές με οικονομικά κίνητρα, (π.χ. ransomware και εξόρυξη κρυπτονομισμάτων).
Δείτε επίσης: Ποια εργαλεία χρησιμοποιούνται από την ομάδα Hacker APT41
Πιστεύεται (χωρίς να είναι επιβεβαιωμένο) ότι η αρχική πρόσβαση γίνεται μέσω spear-phishing email.
“Μόλις μπήκαν στη στοχευμένη υποδομή, οι εισβολείς εκτέλεσαν μια επίθεση DCSync, με στόχο να συλλέξουν password hashes για υπηρεσίες και λογαριασμούς διαχειριστή, ώστε να επεκτείνουν την πρόσβασή τους“, ανέφερε η εταιρεία στην έκθεσή της. “Με αυτά τα διαπιστευτήρια, καθιέρωσαν persistence και διατήρησαν τον έλεγχο του δικτύου, εστιάζοντας ιδιαίτερα σε λογαριασμούς διαχειριστών και προγραμματιστών“.
Λέγεται ότι οι επιτιθέμενοι διεξήγαγαν μεθοδικά τις δραστηριότητές τους, με τελικό στόχο τη λήψη και εκτέλεση πρόσθετων payloads.
Ορισμένες από τις τεχνικές που χρησιμοποιούν οι Κινέζοι hackers APT41 περιλαμβάνουν το Phantom DLL Hijacking, τη χρήση του νόμιμου βοηθητικού προγράμματος wmic.exe και την κατάχρηση της πρόσβασής τους σε λογαριασμούς υπηρεσιών με δικαιώματα διαχειριστή για την ενεργοποίηση της εκτέλεσης.
Το επόμενο στάδιο είναι ένα κακόβουλο αρχείο DLL με το όνομα TSVIPSrv.dll που ανακτάται μέσω του πρωτοκόλλου SMB, μετά το οποίο το payload δημιουργεί επαφή με έναν hard-coded command-and-control (C2) server.
Περισσότερα για την επίθεση μπορείτε να μάθετε στην έκθεση της Security Joes.
Δείτε επίσης: Η hacking συμμορία APT41 χρησιμοποιεί το κακόβουλο λογισμικό StealthVector
Κινέζοι hackers
Οι Κινέζοι hackers θα συνεχίσουν να αποτελούν σημαντική απειλή στον κόσμο του κυβερνοπολέμου. Είναι απαραίτητο για τις κυβερνήσεις και τους οργανισμούς να παραμείνουν σε επαγρύπνηση και να λάβουν τα απαραίτητα μέτρα για την προστασία από πιθανές επιθέσεις. Επιπλέον, οι χώρες πρέπει να συνεργαστούν για την αντιμετώπιση των απειλών στον κυβερνοχώρο και την προώθηση ενός ασφαλούς ψηφιακού τοπίου.
Η λήψη κάποιων βασικών μέτρων κυβερνοασφάλειας μπορεί, επίσης, να βοηθήσει στην αποφυγή επιθέσεων. Η δημιουργία ισχυρών κωδικών πρόσβασης, η αποφυγή ύποπτων μηνυμάτων ηλεκτρονικού ταχυδρομείου, η δημιουργία αντιγράφων ασφαλείας, η χρήση antivirus λογισμικών, η ενημέρωση λογισμικών και εφαρμογών και η ενημέρωση σχετικά με τις πιο πρόσφατες απειλές στον κυβερνοχώρο μπορεί να βοηθήσουν πολύ στην προστασία από Κινέζους hackers και άλλους εισβολείς στον κυβερνοχώρο.
Πηγή: thehackernews.com
