האקרים סינים מכוונים לחברות אירוח אתרים

סיסקו טאלוס זיהתה גורם איום חדש, שסומן כ-UAT-7237 הקבוצה דומה לקבוצות "טייפון" בחסות המדינה הסינית. זה פנה לחברות אירוח אתרים בטייוואן

חוקרים טוענים כי קבוצות האקרים סיניות מכוונות כעת לחברות אירוח אתרים בטייוואן

מומחי אבטחה מסיסקו טאלוס אמרו כי זיהו קבוצה שלא נראתה כמותה מעולם, המתמקדת ב"יצירת התמדה ארוכת טווח בגופי תשתית אינטרנט בטייוואן".

הם עוקבים אחר העבריינים תחת הכינוי UAT-7237, ומאמינים שמדובר בתת-קבוצה של UAT-5918, כלומר שמדובר עדיין בישות נפרדת, וסביר להניח שיש לה חסות מדינה. בעוד שטאלוס לא אומר זאת במפורש, הוא כן אומר שהכלים שבהם משתמשים גורמי האיום דומים למדי לאלה של האקרים "טייפון" שונים הידועים ככאלה הממומנים על ידי המדינה.

לחיות מהאדמה

רוב הכלים הם בקוד פתוח ומותאמים אישית במידה מסוימת, כאשר בולט במיוחד טוען Shellcode מותאם אישית המכונה "SoundBill".

הקבוצה משתמשת במשואות Cobalt Strike, די בררנית עם מעטפות האינטרנט שלה, ומסתמכת על שילוב של גישה ישירה לפרוטוקול שולחן עבודה מרוחק (RDP) ולקוחות VPN של SoftEther.

טאלוס צפה לאחרונה בקבוצה פרצה לספק אירוח טייוואני, ו"מעוניינת במיוחד" בקבלת גישה לתשתית ה-VPN והענן של הארגון הקורבן.

"UAT-7237 השתמש בקוד פתוח ובכלים מותאמים אישית כדי לבצע מספר פעולות זדוניות בארגון, כולל סיור, חילוץ אישורים, פריסת תוכנות זדוניות בהתאמה אישית, הגדרת גישה אחורית דרך לקוחות VPN, סריקת רשת והפצה", הסבירו החוקרים.

עבור גישה ראשונית, UAT-7237 ניצלה פגיעויות ידועות בשרתים שלא תוקנו ונחשפו לאינטרנט. טכניקה זו נפוצה גם בקרב קבוצות אחרות בחסות המדינה, כגון Volt Typhoon ו-Flax Typhoon, שבדרך כלל מנצלות מכשירי VPN שלא תוקנו, חומות אש ושרתי דוא"ל. במקרים מסוימים, הן מנצלות לרעה אישורים תקפים עבור חשבונות VPN, RDP וענן.

למרות שהם מדי פעם משליכים פתרונות לרשת קלת משקל או טוענים מותאמים אישית, הם מעדיפים להשתלב בפעילות הרשת הרגילה וליצור עמידות באמצעות תשתית פרוצה במקום פישינג או תוכנות זדוניות.

אולי תאהבו גם

• ה-NSA אומרת ש-Volt Typhoon "לא הצליחה" להתמיד בתשתיות קריטיות
• עיינו במדריך שלנו לאפליקציית האימות הטובה ביותר
• ריכזנו עבורכם את מנהלי הסיסמאות הטובים ביותר