Forskere har afsløret tre cyberspionage -kampagner, der fokuserer på at kompromittere netværk, der tilhører store teleselskaber.
Tirsdag offentliggjorde Cybereason Nocturnus en ny rapport om cyberangrebene, der menes at arbejde for “kinesiske statsinteresser” og grupperet under navnet “DeadRinger.”
Ifølge cybersikkerhedsfirmaet er de “tidligere uidentificerede” kampagner centreret i Sydøstasien – og på samme måde som angribere sikrede adgang til deres ofre gennem en centraliseret sælger i sagerne SolarWinds og Kaseya, er denne gruppe rettet mod telekommunikation.
Cybereason mener, at angrebene udføres af avancerede persistente trusselgrupper (APT), der er knyttet til kinesisk statssponsorering på grund af overlapninger i taktik og teknikker med andre kendte kinesiske APT'er.
Tre klynger af aktivitet er blevet opdaget med de ældste eksempler til dato tilbage til 2017. Den første gruppe, der menes at blive drevet af eller under Soft Cell APT, begyndte sine angreb i 2018.
Den anden klynge , der siges at være Naikons håndværk, dukkede op og begyndte at ramme telekommunikationer i det sidste kvartal af 2020 og fortsatte indtil nu. Forskerne siger, at Naikon kan være tilknyttet den kinesiske folkefrigørelseshærs (PLA) militære bureau.
Klynge tre har udført cyberangreb siden 2017 og er blevet tilskrevet APT27/Emissary Panda, identificeret gennem en unik bagdør, der blev brugt til at kompromittere Microsoft Exchange -servere indtil 1. kvartal 2021.
Teknikker, der blev noteret i rapporten, omfattede udnyttelse af Microsoft Exchange Server -sårbarheder – længe før de blev offentliggjort – implementeringen af China Chopper -webskallen, brugen af Mimikatz til at høste legitimationsoplysninger, oprettelsen af Cobalt Strike -beacons og bagdøre til oprette forbindelse til en kommando-og-kontrol (C2) server til dataeksfiltrering.
Cybereason siger, at formålet med at kompromittere teleselskaber i hver angrebsbølge var at “lette cyberspionage ved at indsamle følsomme oplysninger og gå på kompromis med høje -profil virksomhedens aktiver, f.eks. de faktureringsservere, der indeholder Call Details Record (CDR) data, samt vigtige netværkskomponenter såsom domænecontrollere, webservere og Microsoft Exchange -servere. ”
I nogle tilfælde overlappede hver gruppe og blev fundet i de samme målmiljøer og slutpunkter på samme tid. Det er imidlertid ikke muligt at sige endegyldigt, om de arbejdede uafhængigt eller ikke er underlagt en anden, central gruppe.
“Om disse klynger faktisk er indbyrdes forbundne eller drives uafhængigt af hinanden, er ikke helt klart på tidspunktet for denne rapport,” siger forskerne. “Vi tilbød flere hypoteser, der kan redegøre for disse overlapninger, i håb om, at der med tiden vil blive gjort mere information tilgængelig for os og for andre forskere, der vil hjælpe med at kaste lys over denne gåde.”
Tidligere og relateret dækning
Udgifter til brud på virksomhedsdata nåede rekordhøje under COVID-19-pandemien
WhatsApp-chef siger, at embedsmænd, amerikanske allierede målrettet af Pegasus spyware
kinesiske APT LuminousMoth misbruger Zoom-brand til at målrette regeringsorganer
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
China Security TV Data Management CXO Data Centers