- 19,507
- 40
- 8 Ноя 2022
Всё работает — и именно это подозрительно.
Специалисты Palo Alto Networks Unit 42 Для просмотра ссылки Войдиили Зарегистрируйся новую кибершпионскую операцию, направленную на телекоммуникационный сектор Юго-Восточной Азии. За атаками стоит группировка CL-STA-0969, тесно связанная с китайским шпионским кластером Для просмотра ссылки Войди или Зарегистрируйся . С февраля по ноябрь 2024 года злоумышленники провели серию целевых проникновений в критически важную инфраструктуру связи, сосредоточив усилия на получении устойчивого доступа к сетям, минуя привычные системы обнаружения.
CL-STA-0969 продемонстрировала высокий уровень оперативной маскировки. На всех этапах атаки применялись приёмы сокрытия следов: стирались журналы событий, удалялись ненужные исполняемые файлы, отключалась система безопасности SELinux, а названия процессов имитировали легитимные сервисы. Для маскировки командного управления использовались методы туннелирования через DNS и маршрутизация трафика через заражённые мобильные операторы.
Первые шаги вторжения начинались с атак подбора паролей для SSH-доступа. После получения доступа к хосту атакующие разворачивали цепочку вредоносных компонентов. Среди них — AuthDoor, модуль аутентификации с жёстко закодированным паролем, имитирующий инструменты Для просмотра ссылки Войдиили Зарегистрируйся . Далее шёл Cordscan — сканер сети с возможностью захвата пакетов, ранее приписываемый Liminal Panda, а также GTPDOOR — специализированный вредонос для взаимодействия с системами, работающими рядом с роуминговыми GPRS-узлами.
Особое внимание вызывает EchoBackdoor — пассивный бекдор, реагирующий на ICMP-запросы. Он извлекает команды из сетевых пакетов и передаёт результат обратно через незашифрованные ICMP-ответы, обходя стандартные механизмы мониторинга. Для усиления контроля над сетевой инфраструктурой применялся эмулятор SGSN, известный как sgsnemu, позволяющий туннелировать трафик и обойти ограничения фаерволов.
Наряду с этим в арсенале группы оказался ChronosRAT — модульная программа с поддержкой шпионских функций: кейлоггинг, создание скриншотов, удалённый шелл, пересылка файлов и проксирование. Ещё один элемент — NoDepDNS (он же MyDns) — реализован на Go и использует необработанные сокеты для пассивного прослушивания команд, передаваемых через DNS-запросы на 53 порту.
Кроме индивидуальных разработок, группа задействовала набор утилит: Microsocks, Fast Reverse Proxy (FRP), ProxyChains, FScan, Responder и эксплойты к уязвимостям в UNIX-подобных системах: CVE-2016-5195 (Dirty COW), CVE-2021-4034 (PwnKit) и CVE-2021-3156 (Baron Samedit). Все они применялись для повышения привилегий и закрепления в системе.
Несмотря на весь масштаб задействованных средств, Unit 42 подчёркивает, что признаков кражи данных обнаружено не было. Также отсутствуют свидетельства того, что злоумышленники отслеживали устройства внутри сети операторов или предпринимали попытки общения с ними.
Судя по совокупности характеристик и схожести используемых инструментов, CL-STA-0969 находится на пересечении нескольких известных кластеров. Помимо Liminal Panda, её деятельность пересекается с LightBasin (UNC1945), известным с 2016 года своими атаками на телекоммуникационные компании, и Для просмотра ссылки Войдиили Зарегистрируйся — группой, нацеленной на банковские системы, в частности, на инфраструктуру банкоматов.
Palo Alto подчёркивает, что атаки CL-STA-0969 основаны на глубоком понимании телеком-протоколов и архитектуры мобильных сетей. Это позволяет злоумышленникам внедряться в структуру операторов связи незаметно, используя нестандартные протоколы и проксирование через доверенные узлы. Такая стратегия делает обнаружение особенно затруднительным.
Специалисты Palo Alto Networks Unit 42 Для просмотра ссылки Войди
CL-STA-0969 продемонстрировала высокий уровень оперативной маскировки. На всех этапах атаки применялись приёмы сокрытия следов: стирались журналы событий, удалялись ненужные исполняемые файлы, отключалась система безопасности SELinux, а названия процессов имитировали легитимные сервисы. Для маскировки командного управления использовались методы туннелирования через DNS и маршрутизация трафика через заражённые мобильные операторы.
Первые шаги вторжения начинались с атак подбора паролей для SSH-доступа. После получения доступа к хосту атакующие разворачивали цепочку вредоносных компонентов. Среди них — AuthDoor, модуль аутентификации с жёстко закодированным паролем, имитирующий инструменты Для просмотра ссылки Войди
Особое внимание вызывает EchoBackdoor — пассивный бекдор, реагирующий на ICMP-запросы. Он извлекает команды из сетевых пакетов и передаёт результат обратно через незашифрованные ICMP-ответы, обходя стандартные механизмы мониторинга. Для усиления контроля над сетевой инфраструктурой применялся эмулятор SGSN, известный как sgsnemu, позволяющий туннелировать трафик и обойти ограничения фаерволов.
Наряду с этим в арсенале группы оказался ChronosRAT — модульная программа с поддержкой шпионских функций: кейлоггинг, создание скриншотов, удалённый шелл, пересылка файлов и проксирование. Ещё один элемент — NoDepDNS (он же MyDns) — реализован на Go и использует необработанные сокеты для пассивного прослушивания команд, передаваемых через DNS-запросы на 53 порту.
Кроме индивидуальных разработок, группа задействовала набор утилит: Microsocks, Fast Reverse Proxy (FRP), ProxyChains, FScan, Responder и эксплойты к уязвимостям в UNIX-подобных системах: CVE-2016-5195 (Dirty COW), CVE-2021-4034 (PwnKit) и CVE-2021-3156 (Baron Samedit). Все они применялись для повышения привилегий и закрепления в системе.
Несмотря на весь масштаб задействованных средств, Unit 42 подчёркивает, что признаков кражи данных обнаружено не было. Также отсутствуют свидетельства того, что злоумышленники отслеживали устройства внутри сети операторов или предпринимали попытки общения с ними.
Судя по совокупности характеристик и схожести используемых инструментов, CL-STA-0969 находится на пересечении нескольких известных кластеров. Помимо Liminal Panda, её деятельность пересекается с LightBasin (UNC1945), известным с 2016 года своими атаками на телекоммуникационные компании, и Для просмотра ссылки Войди
Palo Alto подчёркивает, что атаки CL-STA-0969 основаны на глубоком понимании телеком-протоколов и архитектуры мобильных сетей. Это позволяет злоумышленникам внедряться в структуру операторов связи незаметно, используя нестандартные протоколы и проксирование через доверенные узлы. Такая стратегия делает обнаружение особенно затруднительным.
- Источник новости
- www.securitylab.ru
