DeadRinger: Kinesiska APT: er slår mot stora telekommunikationsföretag

0
77

 Charlie Osborne

Av Charlie Osborne för Zero Day | 3 augusti 2021 – 04:01 GMT (05:01 BST) | Ämne: Säkerhet

Forskare har avslöjat tre cyberspionage -kampanjer som fokuserar på att kompromissa nätverk som tillhör stora telekommunikationsföretag.

I tisdags publicerade Cybereason Nocturnus en ny rapport om cyberattacker, som antas arbeta för “kinesiska statsintressen” och samlas under namnet “DeadRinger.”

Enligt cybersäkerhetsföretaget är de “tidigare oidentifierade” kampanjerna centrerade i Sydostasien – och på ett liknande sätt som hur angripare säkrade tillgång till sina offer genom en centraliserad leverantör i fallen SolarWinds och Kaseya, riktar denna grupp sig till telekom.

Cybereason tror att attackerna är verk av avancerade persistent hot (APT) grupper kopplade till kinesisk statlig sponsring på grund av överlappningar i taktik och tekniker med andra kända kinesiska APT.

Tre aktiva kluster har upptäckts med de äldsta exemplen som hittills hittades tillbaka till 2017. Den första gruppen, som antas drivas av eller under Soft Cell APT, började sina attacker 2018.

Det andra klustret , sägs vara Naikons hantverk, dök upp och började slå telekommunikationer under det sista kvartalet 2020 och fortsätter fram till nu. Forskarna säger att Naikon kan vara associerad med den kinesiska folkets befrielsearméns (PLA) militära byrå.

Kluster tre har genomfört cyberattacker sedan 2017 och har tillskrivits APT27/Emissary Panda, identifierad genom en unik bakdörr som används för att kompromissa Microsoft Exchange -servrar fram till första kvartalet 2021.

Tekniker som noteras i rapporten omfattade utnyttjande av Microsoft Exchange Server -sårbarheter – långt innan de offentliggjordes – distributionen av China Chopper -webbskalet, användning av Mimikatz för att skörda referenser, skapandet av Cobalt Strike -beacons och bakdörrar till ansluta till en kommando-och-kontroll (C2) -server för dataexfiltrering.

Cybereason säger att syftet med att kompromissa telekommunikationsföretag i varje attackvåg var att “underlätta cyberspionage genom att samla in känslig information, kompromissa högt -profilföretagstillgångar som faktureringsservrar som innehåller CDR -data (Call Detail Record) samt viktiga nätverkskomponenter som domänkontrollanter, webbservrar och Microsoft Exchange -servrar. ”

I vissa fall överlappade varje grupp och hittades samtidigt i samma målmiljöer och slutpunkter. Det är emellertid inte möjligt att definitivt säga om de arbetade självständigt eller inte är underlagt en annan central grupp.

“Om dessa kluster faktiskt är sammankopplade eller drivs oberoende av varandra är inte helt klart vid tidpunkten för skrivandet av denna rapport”, säger forskarna. “Vi erbjöd flera hypoteser som kan redogöra för dessa överlappningar, i hopp om att med tiden kommer mer information att göras tillgänglig för oss och för andra forskare som kommer att bidra till att belysa denna gåta.”

Tidigare och relaterad täckning

Företagsdatakrävande kostnader nådde rekordhöga under COVID-19-pandemin
WhatsApp-chefen säger att regeringstjänstemän, amerikanska allierade som Pegasus spionprogram riktar sig mot-kinesiska APT LuminousMoth missbrukar Zoom-varumärket för att rikta sig till statliga myndigheter

Har du ett tips? Hör av dig säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0

Relaterade ämnen:

China Security TV Data Management CXO Data Center Charlie Osborne

Av Charlie Osborne för Zero Day | 3 augusti 2021 – 04:01 GMT (05:01 BST) | Ämne: Säkerhet