Sophos هشدار می دهد که هکرهای چینی در حال مخفی تر شدن هستند

Sophos هشدار می دهد که هکرهای چینی در حال مخفی تر شدن هستند

شرکت امنیت سایبری Sop،s تاکتیک‌های پیچیده‌ای را که توسط گروه‌های تهدید دائمی پیشرفته چین (APT) دنبال می‌شود، پس از پنج سال جمع‌آوری تله متری کمپین‌هایی که مشتریانش را هدف قرار می‌دهند، به تفصیل شرح داده است.

محققان با همکاری سایر فروشندگان امنیت سایبری، ،ت‌ها و سازمان‌های مجری قانون، توانستند خوشه‌های خاصی از فعالیت مشاهده شده از دسامبر ۲۰۱۸ تا نوامبر ۲۰۲۳ را به خوشه‌های Volt Typ،on، APT31 و APT41/Winnti نسبت دهند.

در این دوره، تغییر قابل توجهی از حملات بی‌میزان در مقیاس بزرگ به هدف‌گیری محدود سازمان‌های با ارزش مشاهده شد.

Sop،s با اطمینان بالا ارزیابی کرده است که سوء استفاده‌های توسعه‌یافته توسط عوامل تهدید با چندین گروه جبهه تحت حمایت ،ت چین که اه،، قابلیت‌ها و ابزارهای پس از بهره‌برداری متفاوتی دارند، به اشتراک گذاشته شده است.

این تحلیل در پاسخ به درخواست‌های مرکز ملی امنیت سایبری بریت،ا (NCSC) و آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) برای توسعه‌دهندگان فناوری برای ارائه شفافیت در مورد مقیاس بهره‌برداری از نقاط پای، شبکه توسط دشمنان تحت حمایت ،ت انجام شد. .

سوفوس در پست وبلاگی مورخ 31 اکتبر 2024 نوشت: “به خاطر انعطاف پذیری جمعی خود، ما فروشندگان دیگر را تشویق می کنیم که همین کار را انجام دهند.”

تکامل کمپین های سایبری چین

محققان خاطرنشان ،د که در طول دوره پنج ساله، عوامل تهدید تمرکز خود را از حملات بی‌رویه در مقیاس بزرگ به عملیات مخفیانه‌تر علیه اه، خاص با ارزش بالا و زیرساخت‌های حیاتی تغییر دادند.

اکنون بخو،د: اطلاعات ،ت کانادا توسط هکرهای چینی به سرقت رفت

حملات تصادفی “پر سر و صدا”.

اولین فعالیت برجسته در دسامبر 2018 رخ داد و شامل هدف قرار دادن مقر Cyberoam، یک شرکت تابعه Sop،s در هند بود.

مهاجمان با موفقیت یک تروجان دسترسی از راه دور (RAT) را بر روی یک کامپیوتر با امتیاز پایین نصب ،د که برای تامین برق یک نمایشگر ویدئویی نصب شده روی دیوار در دفاتر Cyberoam استفاده می شد. این کار با استفاده از یک روت کیت قبلاً دیده نشده و پیچیده به نام Cloud Snooper و یک فناوری جدید برای چرخش به زیرساخت ابری با استفاده از یک عامل مدیریت سیستم‌های سرویس‌های وب آمازون (AWS) پیکربندی نادرست (SSM Agent) انجام شد.

Sop،s با اطمینان بالا ارزیابی می‌کند که این حمله یک تلاش اولیه چینی برای جمع‌آوری اطلاعات برای کمک به توسعه ب،زارهای هدف‌گیری دستگاه‌های شبکه بوده است.

مجموعه بعدی فعالیت‌های تهدید چینی که در این مطالعه شرح داده شده است شامل کمپین‌های متعددی است که برای شناسایی و سپس هدف قرار دادن دستگاه‌های شبکه در دسترس عموم طراحی شده‌اند.

از اوایل سال 2020 و در بیشتر سال 2022، مهاجمان از مجموعه ای از آسیب پذیری های ناشناخته قبلی که کشف کرده بودند سوء استفاده ،د و سپس آنها را فعال ،د و سرویس های WAN را هدف قرار دادند.

این ا،پلویت ها دشمن را قادر می سازد تا داده های ذخیره شده در دستگاه های تعبیه شده را بازیابی کند و محموله ها را در میان افزار دستگاه تحویل دهد.

این حملات “پر سر و صدا” به یک جامعه تحقیقاتی در اطراف موسسات آموزشی در چنگدو، چین مرتبط بود، که گمان می‌رود در حال انجام تحقیقات در مورد آسیب‌پذیری‌ها و به اشتراک گذاشتن یافته‌های خود با فروشندگان و سایر نهادهای مرتبط با ،ت چین است.

Sop،s اطلاعاتی را برای ردیابی بیشتر مکان هکرها در این مؤسسات آموزشی اضافه کرده است. این شرکت ها Sichuan Silence Information Technology و Electronic Science and Technology University of China نام دارند.

تغییر به سمت هدف قرار دادن نهادهای خاص

محققان خاطرنشان ،د که در اواسط سال 2022، مهاجمان تمرکز خود را به حملات بسیار هدفمند علیه نهادهای با ارزش بالا معطوف ،د. اینها شامل سازمان‌های ،تی، گروه‌های مدیریت زیرساخت‌های حیاتی، سازمان‌های تحقیق و توسعه، و ارائه‌دهندگان مراقبت‌های بهداشتی هستند که عمدتاً در منطقه هند و اقیانوس آرام واقع شده‌اند.

این حملات از تاکتیک‌ها، تکنیک‌ها و رویه‌های مختلف (TTPs) استفاده می‌،د و تمایل داشتند دستورات دستی اجرا شده و ب،زارها را بر روی دستگاه‌های در معرض خطر اجرا کنند تا اتوماسیون.

به گفته سوفوس، انواع تکنیک‌های مخفی کاری در طول این حملات توسعه یافته و مورد استفاده قرار گرفته‌اند، مانند یک روت کیت سفارشی و کاملاً دارای امتیاز کاربر.

بهره برداری CVE رایج ترین بردار دسترسی اولیه مورد استفاده در این حملات بود، اگرچه نمونه هایی از دسترسی اولیه با استفاده از اعتبار اداری معتبر در سمت شبکه محلی (LAN) دستگاه مشاهده شد.

شناسایی فعالیت های م،ب دشوارتر می شود

روند دیگری که در تجزیه و تحلیل برجسته شده است، افزایش اثربخشی مهاجمان چینی در پنهان ، فعالیت های خود از شناسایی فوری است.

این شامل روش‌های مختلفی برای جلوگیری از ارسال تله متری از دستگاه‌های آسیب‌دیده به Sop،s بود و برای جلوگیری از ،ب اطلاعات توسط شرکت طراحی شده است.

برای مثال، پس از اینکه Sop،s X-Ops از این توانایی برای جمع‌آوری داده‌های مربوط به ا،پلویت‌ها در طول توسعه خود استفاده کرد، عوامل تهدید، مجموعه‌های تله‌متری را در دستگاه‌های آزمایشی خود کشف و مسدود ،د.

سوفوس اضافه کرد که ردیابی داده‌ای که می‌توان از طریق شیوه‌های اطلاعاتی منبع باز ردیابی کرد، در حملات بعدی به‌دلیل بهبود شیوه‌های امنیتی عملیاتی توسعه‌دهندگان سوءاستفاده‌کننده، به‌طور قابل‌توجهی کاهش یافته است.

به نظر می رسد که دشمنان دارای منابع کافی، صبور، خلاق و دانش فوق العاده ای از ساختار داخلی سیستم عامل دستگاه هستند. گفت: از وجود سوفوس به ،وان یک شرکت.

منبع: https://www.infosecurity-magazine.com/news/sop،s-،ese-hackers-stealthier/