Forskere har avslørt tre cyberspionage -kampanjer som fokuserer på å kompromittere nettverk som tilhører store telekommunikasjonsselskaper.
Tirsdag publiserte Cybereason Nocturnus en ny rapport om cyberangrepene, antatt å jobbe for “kinesiske statsinteresser” og gruppert under navnet “DeadRinger.”
I følge cybersikkerhetsfirmaet er de “tidligere uidentifiserte” kampanjene sentrert i Sørøst -Asia – og på samme måte som hvordan angriperne sikret tilgang til sine ofre gjennom en sentralisert leverandør i tilfellene SolarWinds og Kaseya, er denne gruppen rettet mot telekommunikasjon.
Cybereason mener angrepene er et verk av avanserte grupper med vedvarende trussel (APT) knyttet til kinesisk statssponsring på grunn av overlappinger i taktikk og teknikker med andre kjente kinesiske APT-er.
Tre klynger av aktivitet har blitt oppdaget med de eldste eksemplene som så ut til 2017. Den første gruppen, antatt å være operert av eller under Soft Cell APT, begynte sine angrep i 2018.
Den andre klyngen , sies å være håndverket til Naikon, dukket opp og begynte å slå telekommunikasjon i siste kvartal 2020, og fortsatte frem til nå. Forskerne sier at Naikon kan være assosiert med den kinesiske folkets frigjøringshærs (PLA) militære byrå.
Klynge C har utført cyberangrep siden 2017 og har blitt tilskrevet APT27/Emissary Panda, identifisert gjennom en unik bakdør som ble brukt til å kompromittere Microsoft Exchange -servere frem til 1. kvartal 2021.
Teknikkene som er nevnt i rapporten inkluderer utnyttelse av Microsoft Exchange Server -sårbarheter – lenge før de ble offentliggjort – distribusjon av China Chopper -nettskallet, bruk av Mimikatz for å høste legitimasjon, opprettelse av Cobalt Strike -beacons og bakdører til koble til en kommando-og-kontroll (C2) server for dataeksfiltrering.
Cybereason sier at i hver angrepsbølge var formålet med å kompromittere telekommunikasjonsfirmaer å “lette cyberspionasje ved å samle sensitiv informasjon, kompromittere høy -profil forretningsmidler som faktureringsservere som inneholder Call Detail Record (CDR) -data, samt viktige nettverkskomponenter som domenekontrollere, webservere og Microsoft Exchange -servere. ”
I noen tilfeller overlappet hver gruppe og ble funnet i de samme målmiljøene og endepunktene, samtidig. Imidlertid er det ikke mulig å si definitivt om de jobbet uavhengig eller ikke, eller alle er underlagt en annen, sentral gruppe.
“Hvorvidt disse klyngene faktisk er sammenkoblede eller operert uavhengig av hverandre, er ikke helt klart når vi skriver denne rapporten,” sier forskerne. “Vi tilbød flere hypoteser som kan redegjøre for disse overlappningene, i håp om at etter hvert vil mer informasjon bli gjort tilgjengelig for oss og for andre forskere som vil bidra til å belyse denne gåten.”
Tidligere og relatert dekning
Kostnadene for bedriftsbrudd nådde rekordhøye under COVID-19-pandemien
WhatsApp-sjefen sier myndighetspersoner, amerikanske allierte målrettet av Pegasus spyware
kinesiske APT LuminousMoth misbruker Zoom-merke for å målrette regjeringsbyråer
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
China Security TV Data Management CXO Data Centers