HomeSecurityΟι hackers Salt Typhoon στοχεύουν τηλεπικοινωνίες με το GhostSpider backdoor

Οι hackers Salt Typhoon στοχεύουν τηλεπικοινωνίες με το GhostSpider backdoor

Οι Κινέζοι hackers Salt Typhoon χρησιμοποιούν ένα νέο backdoor με το όνομα “GhostSpider” και στοχεύουν εταιρείες τηλεπικοινωνιών.

Κινέζοι hackers Salt Typhoon GhostSpider backdoor

Το backdoor ανακαλύφθηκε από την Trend Micro, η οποία παρακολουθεί τις επιθέσεις της ομάδας Salt Typhoon εναντίον κρίσιμων υποδομών και κυβερνητικών οργανισμών σε όλο τον κόσμο.

Σύμφωνα με τους ερευνητές, πέρα από το νέο GhostSpider, οι hackers χρησιμοποιούν ένα πιο παλιό Linux backdoor με το όνομα «Masol RAT», ένα rootkit με το όνομα «Demodex» και το modular backdoor «SnappyBee», το οποίο χρησιμοποιείται από πολλές κινεζικές ομάδες.

Οι Κινέζοι hackers Salt Typhoon (γνωστοί και ως «Earth Estries», «GhostEmperor» ή «UNC2286») δραστηριοποιούνται τουλάχιστον από το 2019 και εστιάζουν στην παραβίαση κυβερνητικών φορέων και εταιρειών τηλεπικοινωνιών.

#secnews #google 

Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή. Η Google έκανε πρόσφατα ένα βήμα που δεν είχαμε δει εδώ και καιρό, αφού μήνυσε το Γραφείο Οικονομικής Προστασίας των Καταναλωτών των ΗΠΑ (CFPB), αμφισβητώντας πρόσφατη εντολή που εκδόθηκε για την επίβλεψη της πτέρυγας πληρωμών της εταιρείας από την κυβέρνηση. Η Google διαθέτει δύο κύριες υπηρεσίες πληρωμών που προσφέρει — το Google Wallet και το Google Pay. Το τελευταίο χρησιμοποιούσε ένα σύστημα peer-to-peer για πληρωμές και σταμάτησε να λειτουργεί στις ΗΠΑ νωρίτερα φέτος.

00:00 Εισαγωγή
00:25 Δύο υπηρεσίες πληρωμών
01:03 Απόρριψη εντολών
01:38 Επίβλεψη των εργασιών 

Μάθετε περισσότερα: https://www.secnews.gr/634151/google-miniei-kivernisi-ipa-ipervoli/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #google

Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή. Η Google έκανε πρόσφατα ένα βήμα που δεν είχαμε δει εδώ και καιρό, αφού μήνυσε το Γραφείο Οικονομικής Προστασίας των Καταναλωτών των ΗΠΑ (CFPB), αμφισβητώντας πρόσφατη εντολή που εκδόθηκε για την επίβλεψη της πτέρυγας πληρωμών της εταιρείας από την κυβέρνηση. Η Google διαθέτει δύο κύριες υπηρεσίες πληρωμών που προσφέρει — το Google Wallet και το Google Pay. Το τελευταίο χρησιμοποιούσε ένα σύστημα peer-to-peer για πληρωμές και σταμάτησε να λειτουργεί στις ΗΠΑ νωρίτερα φέτος.

00:00 Εισαγωγή
00:25 Δύο υπηρεσίες πληρωμών
01:03 Απόρριψη εντολών
01:38 Επίβλεψη των εργασιών

Μάθετε περισσότερα: https://www.secnews.gr/634151/google-miniei-kivernisi-ipa-ipervoli/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpKVnRDVHZNN2k4

Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή

SecNewsTV 11 hours ago

Δείτε επίσης: Οι hackers Liminal Panda χρησιμοποιούν πρωτόκολλα GSM, SIGTRAN για επίθεση σε τηλεπικοινωνίες

Πρόσφατα, οι αρχές των ΗΠΑ επιβεβαίωσαν ότι η Salt Typhoon βρισκόταν πίσω από πολλές επιτυχείς παραβιάσεις παρόχων όπως οι Verizon, AT&T, Lumen Technologies και T-Mobile.

Αργότερα, αποκαλύφθηκε ότι οι hackers εισχώρησαν σε ιδιωτικές επικοινωνίες ορισμένων κυβερνητικών αξιωματούχων των ΗΠΑ.

Μόλις χθες, η Washington Post ανέφερε ότι οι αρχές στις ΗΠΑ ειδοποίησαν 150 θύματα, κυρίως στην περιοχή D.C., για παραβίαση του απορρήτου των επικοινωνιών τους από την ομάδα Salt Typhoon.

Ο τομέας των τηλεπικοινωνιών είναι ένα ουσιαστικό συστατικό της σύγχρονης κοινωνίας, παρέχοντας κρίσιμες υπηρεσίες όπως η επικοινωνία, το εμπόριο και η αντιμετώπιση καταστάσεων έκτακτης ανάγκης. Ως αποτέλεσμα, στοχοποιείται όλο και περισσότερο από κακόβουλους παράγοντες. Οι Κινέζοι hackers χρησιμοποιούν διάφορες μεθόδους για να διεισδύσουν σε ευαίσθητα συστήματα και να αποκτήσουν πρόσβαση σε πολύτιμα δεδομένα.

Ως απάντηση σε αυτό το αυξανόμενο τοπίο απειλών, οι κυβερνήσεις σε όλο τον κόσμο καλούνται να εφαρμόσουν κανονισμούς και οδηγίες για την ενίσχυση των πρακτικών κυβερνοασφάλειας στον κλάδο των τηλεπικοινωνιών.

Σύμφωνα με την Trend Micro, οι Κινέζοι hackers Salt Typhoon έχουν επιτεθεί σε πολλούς τομείς: τηλεπικοινωνίες, κυβερνητικούς φορείς, εταιρείες τεχνολογίας, εταιρείες συμβούλων, οργανισμούς χημικών προϊόντων και μεταφορές στις ΗΠΑ, την περιοχή Ασίας-Ειρηνικού, τη Μέση Ανατολή, τη Νότια Αφρική και άλλες περιοχές.

Δείτε επίσης: FBI, CISA: Κινέζοι hackers έχουν παραβιάσει πολλούς παρόχους τηλεπικοινωνιών

Οι ερευνητές ασφαλείας έχουν επιβεβαιώσει τουλάχιστον είκοσι επιτυχημένες επιθέσεις σε κρίσιμους οργανισμούς.

Η αρχική πρόσβαση επιτυγχάνεται συχνά μέσω της εκμετάλλευσης ευπαθειών σε ευάλωτα, εκτεθειμένα στο διαδίκτυο, συστήματα:

  • CVE-2023-46805, CVE-2024-21887 (Ivanti Connect Secure VPN)
  • CVE-2023-48788 (Fortinet FortiClient EMS)
  • CVE-2022-3236 (Sophos Firewall)
  • CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 (Microsoft Exchange – ProxyLogon)

Οι hackers Salt Typhoon χρησιμοποιούν εργαλεία LOLbin για συλλογή πληροφοριών και lateral network movement, μετά την αρχική παραβίαση.

Graphican backdoor

GhostSpider backdoor

Το GhostSpider είναι ένα modular backdoor που επιτρέπει μακροχρόνια κατασκοπεία στα συστήματα.
Φορτώνεται στο σύστημα-στόχο μέσω DLL hijacking και καταχωρείται ως υπηρεσία μέσω του νόμιμου εργαλείου «regsvr32.exe». Ένα δευτερεύον module, το beacon loader, φορτώνει κρυπτογραφημένα payloads απευθείας στη μνήμη.

Το GhostSpider των hackers Salt Typhoon εκτελεί εντολές που λαμβάνονται από τον διακομιστή εντολών και ελέγχου (C2). Υποστηρίζει τις ακόλουθες εντολές:

  • Upload: Φορτώνει μια κακόβουλη μονάδα στη μνήμη για την εκτέλεση συγκεκριμένων εργασιών που ελέγχονται από τους εισβολείς.
  • Create: Ενεργοποιεί τη φορτωμένη μονάδα.
  • Normal: Εκτελεί την κύρια λειτουργία της φορτωμένης μονάδας (εξαγωγή δεδομένων ή χειρισμός του συστήματος).
  • Close: Αφαιρεί την ενεργή μονάδα από τη μνήμη για να ελαχιστοποιήσει τα ίχνη και να ελευθερώσει τους πόρους του συστήματος.
  • Update: Προσαρμόζει τη συμπεριφορά του κακόβουλου λογισμικού, ώστε να παραμένει κρυφό και αποτελεσματικό.
  • Heartbeat: Διατηρεί περιοδική επικοινωνία με τον διακομιστή C&C για να επιβεβαιώσει ότι το σύστημα εξακολουθεί να είναι προσβάσιμο.

Η δομή αυτών των εντολών δίνει στο GhostSpider backdoor ευελιξία και επιτρέπει στους Κινέζους hackers Salt Typhoon να προσαρμόζουν την επίθεσή τους, ανάλογα με το δίκτυο και τις άμυνες του θύματος.

Εκτός από το GhostSpider, η Salt Typhoon βασίζεται σε ένα σύνολο ιδιόκτητων και μη εργαλείων που τους επιτρέπουν να διεξάγουν πολύπλοκες επιχειρήσεις κατασκοπείας. Αυτά είναι τα SNAPPYBEE, MASOL RAT, DEMODEX, SparrowDoor, CrowDoor, ShadowPad, NeoReGeorg, frpc και Cobalt Strike.

Δείτε επίσης: Salt Typhoon hack: Οι Κυβερνητικοί υπάλληλοι προτρέπονται να περιορίσουν τη χρήση τηλεφώνου

Το οπλοστάσιο της Salt Typhoon είναι εκτεταμένο και περιλαμβάνει εργαλεία που χρησιμοποιούν και άλλες ομάδες, ώστε να μην μπορούν να συνδεθούν εύκολα με τις επιθέσεις.

Η Trend Micro χαρακτηρίζει την Salt Typhoon ως μία από τις πιο επιθετικές κινεζικές ομάδες APT, προτρέποντας τους οργανισμούς να παραμείνουν σε επαγρύπνηση και να εφαρμόσουν πολυεπίπεδη άμυνα στον κυβερνοχώρο.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS