Forscher haben drei Cyberspionage-Kampagnen aufgedeckt, die sich auf die Kompromittierung von Netzwerken großer Telekommunikationsunternehmen konzentrieren.
Am Dienstag veröffentlichte Cybereason Nocturnus einen neuen Bericht über die Cyberangriffe, von denen angenommen wird, dass sie für “chinesische Staatsinteressen” arbeiten und unter dem Namen “DeadRinger” zusammengefasst sind.
Nach Angaben des Cybersicherheitsunternehmens konzentrieren sich die “bisher nicht identifizierten” Kampagnen auf Südostasien – und ähnlich wie Angreifer im Fall von SolarWinds und Kaseya den Zugang zu ihren Opfern über einen zentralen Anbieter gesichert haben, zielt diese Gruppe auf Telcos ab.
Cybereason glaubt, dass die Angriffe das Werk von Advanced Persistent Threat (APT)-Gruppen sind, die aufgrund von Überschneidungen in Taktiken und Techniken mit anderen bekannten chinesischen APTs mit chinesischer staatlicher Unterstützung verbunden sind.
Es wurden drei Aktivitätscluster entdeckt, wobei die ältesten Beispiele aus dem Jahr 2017 stammen. Die erste Gruppe, von der angenommen wird, dass sie von oder unter der Soft Cell APT betrieben wird, begann ihre Angriffe im Jahr 2018.
Der zweite Cluster , das angeblich das Werk von Naikon ist, tauchte auf und begann im letzten Quartal 2020, Telcos zu streiken, was bis heute andauert. Die Forscher sagen, dass Naikon mit dem Militärbüro der chinesischen Volksbefreiungsarmee (PLA) in Verbindung gebracht werden könnte.
Cluster 3 führt seit 2017 Cyberangriffe durch und wird APT27/Emissary Panda zugeschrieben, identifiziert durch eine einzigartige Hintertür, die verwendet wurde, um Microsoft Exchange-Server bis zum ersten Quartal 2021 zu kompromittieren.
Zu den in dem Bericht erwähnten Techniken gehörten die Ausnutzung von Microsoft Exchange Server-Schwachstellen – lange bevor sie veröffentlicht wurden –, die Bereitstellung der China Chopper-Web-Shell, die Verwendung von Mimikatz zum Sammeln von Anmeldeinformationen, die Erstellung von Cobalt-Strike-Beacons und Hintertüren zu Verbinden Sie sich mit einem Command-and-Control-Server (C2) zur Datenexfiltration.
Cybereason sagt, dass der Zweck der Kompromittierung von Telekommunikationsunternehmen in jeder Angriffswelle darin bestand, “Cyberspionage durch das Sammeln sensibler Informationen zu erleichtern, um hohe Kompromittierungen zu erreichen”. – Geschäftsressourcen wie die Abrechnungsserver, die Call Detail Record (CDR)-Daten enthalten, sowie wichtige Netzwerkkomponenten wie die Domänencontroller, Webserver und Microsoft Exchange-Server profilieren.”
In einigen Fällen überlappte sich jede Gruppe und wurde gleichzeitig in denselben Zielumgebungen und Endpunkten gefunden. Es lässt sich jedoch nicht abschließend sagen, ob sie selbstständig arbeiteten oder alle unter der Anleitung einer anderen, zentralen Gruppe stehen.
„Ob diese Cluster tatsächlich miteinander verbunden sind oder unabhängig voneinander betrieben werden, ist zum Zeitpunkt der Erstellung dieses Berichts noch nicht ganz klar“, sagen die Forscher. “Wir haben mehrere Hypothesen vorgeschlagen, die diese Überschneidungen erklären können, in der Hoffnung, dass uns und anderen Forschern im Laufe der Zeit mehr Informationen zur Verfügung gestellt werden, die dazu beitragen, dieses Rätsel zu lösen.”
Zurück und zugehörige Berichterstattung
Die Kosten für Datenschutzverletzungen in Unternehmen erreichten während der COVID-19-Pandemie ein Rekordhoch
WhatsApp-Chef sagt Regierungsbeamten, US-Verbündeten, die von Pegasus-Spyware angegriffen werden
Das chinesische APT LuminousMoth missbraucht die Zoom-Marke, um staatliche Behörden anzugreifen
Haben Sie einen Tipp? Kontaktieren Sie uns sicher über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0
Verwandte Themen:
China Security TV Data Management CXO Data Centers 