+36304177429 info@datad.hu

Fülöp-szigeteki Kormány Célkeresztben: A Mustang Panda Kibertámadásai

nov 22, 2023 | Blog

A Mustang Panda Támadásai: Kibertérben Kibontakozó Fülöp-szigeteki Konfliktusok

A Mustang Panda, egy Kínával összefüggésbe hozható hackercsoport, Fülöp-szigeteki kormányzati célpontokat támadott meg, kihasználva a Dél-kínai-tengeri területi viták által keltett feszültségeket. A Palo Alto Networks Unit 42 elemzése szerint 2023 augusztusában három külön kampány során a csoport célba vette a Dél-Csendes-óceáni térség szervezeteit.

A támadások során a hackerek hiteles szoftvereket, mint például a Solid PDF Creator-t és az indonéz SmadavProtect antivírust használták fel, hogy rosszindulatú fájlokat juttassanak be a rendszerekbe. A csoport ügyesen manipulálta ezeket a szoftvereket, hogy Microsoft hálózati forgalmat utánozzanak, ezzel biztosítva a parancs- és vezérlési (C2) kapcsolatokat.

A Mustang Panda csoportot sok néven ismerik, mint például Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus, és mint egy kínai fejlett állandó fenyegetést (APT) jelölő csoportot tartják számon, mely 2012 óta aktívan folytat kiberspionázs kampányokat világszerte.

2023 szeptemberében a Unit 42 szakértői a csoportot egy délkelet-ázsiai kormányzati szervezet elleni támadással hozták összefüggésbe, melyben a TONESHELL nevű hátsó ajtót használták.

A legfrissebb támadások dárda-phishing email-ekkel kezdődtek, melyek rosszindulatú ZIP fájlokat tartalmaztak, egy rosszindulatú dinamikus könyvtárral (DLL). Az offenzíva célja egy távoli szerverhez való csatlakozás volt, amelynek során kompromittálták a Fülöp-szigeteki kormányzati entitásokat egy ötnapos időszak alatt, 2023 augusztus 10. és 15. között.

A Mustang Panda ismert a SmadavProtect program használatáról, amelyet a biztonsági rendszerek kijátszására terveztek. „Állami Taurus továbbra is bizonyítja a hatékony és tartós kiberspionázs műveletek végrehajtásában való jártasságát, mint az egyik legaktívabb kínai APT,” jegyezték meg a kutatók.

Az esetek globális célpontjai összhangban állnak a kínai kormány geopolitikai érdeklődési körével. A felfedezés egyidejűleg történt egy dél-koreai APT csoport, a Higaisa aktivitásának feltárásával, amely kínai felhasználókat célozott meg, OpenVPN-hez hasonló adathalász weboldalakon keresztül.

„Ezek a támadások Rust alapú kártékony szoftvereket telepítettek és futtattak a rendszereken, aktiválva egy shellcode-ot,” tájékoztatott a Cyble. „A shellcode anti-debugging és dekódoló műveleteket hajt végre, majd titkosított parancs-és-vezérlés (C&C) kommunikációt hoz létre a távoli fenyegető szereplővel.”

Izraeli Intézményeket Célzó Kibertámadások: Agonizing Serpens Akciói

nov 13, 2023 | Blog

Január 2023-ban egy sor pusztító kibertámadás érte Izrael számos felsőoktatási és technológiai intézményét. Ezeket az Agonizing Serpens néven ismert iráni hackercsoport követte el, mely más néven, például Agrius, BlackShadow, és Pink Sandstorm (korábban Americium) néven is ismert. A támadások célja új, ismeretlen adattörlő vírusok telepítése volt.

A Palo Alto Networks Unit 42 szerint a támadások célja az adatok, beleértve a személyes azonosító információkat (PII) és a szellemi tulajdonok ellopása volt. A támadók ezután adattörlő szoftvereket telepítettek a nyomok eltüntetésére és a fertőzött rendszerek tönkretételére. Három különleges adattörlő programot használtak: a MultiLayer-t, a PartialWasher-t, és a BFG Agonizer-t, valamint egy speciális eszközt, a Sqlextractort adatbázis-szerverekből történő adatkinyerésre.

Az Agonizing Serpens csoportot 2020-ban Izrael elleni törlő vírusos támadásokkal hozták összefüggésbe. A Check Point szerint a csoport a Moneybird zsarolóprogramot is használta támadásaikban.

A legújabb támadássorozatban a hackerek sebezhető internetes webszervereket használtak ki, webhéjakat telepítve, a célhálózatot felderítve, és rendszergazdai jogosultságokkal rendelkező felhasználók hitelesítő adatait megszerezve. Ezek után különféle eszközökkel, mint a Sqlextractor, a WinSCP és a PuTTY segítségével exfiltrálták az adatokat, majd telepítették a törlő vírusokat.

A MultiLayer egy .NET alapú vírus, a PartialWasher egy C++ alapú vírus, a BFG Agonizer pedig egy CRYLINE-v5.0 nyílt forráskódú projekten alapul. Az Agrius és más kártevőcsaládok közötti kód átfedések azt mutatják, hogy a csoport korábban más kártevőket is használt.

A kutatók szerint az Agonizing Serpens csoport fokozta képességeit az EDR és más biztonsági megoldások kijátszására, különféle PoC és pentesting eszközöket, valamint saját fejlesztésű szoftvereket alkalmazva.

Ez a támadássorozat nem csak Izraelre, hanem az egész nemzetközi közösségre is figyelmeztetést jelent a kiberbiztonsági fenyegetések növekedésére. Az izraeli hatóságok és nemzetközi szakértők együttműködése kulcsfontosságú a jövőbeli támadások megelőzésében és a védekezési stratégiák fejlesztésében. Az eset rámutat a kiberbiztonság fontosságára nem csak a technológiai, hanem az oktatási szektor számára is, és arra, hogy mindkét területen szükség van fokozott óvatosságra és felkészültségre. Az izraeli hatóságok folyamatosan monitorozzák a helyzetet és minden szükséges intézkedést megtesznek a védelem és azonosítás érdekében.

Forrás: www.thehackernews.com