Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Campanya d'espionatge Red Menshen

Campanya d'espionatge Red Menshen

El Mezo el Programari maliciós, Amenaça persistent avançada (APT)
Traduir a:

Una campanya de ciberespionatge persistent i altament estratègica vinculada a un actor d'amenaces alineat amb la Xina s'ha integrat amb èxit a les xarxes de telecomunicacions. L'objectiu principal és vigilar i infiltrar-se en la infraestructura relacionada amb el govern aprofitant els entorns de telecomunicacions com a porta d'entrada.

Aquesta operació de llarga durada s'atribueix al clúster d'amenaces conegut com a Red Menshen, també rastrejat sota àlies com Earth Bluecrow, DecisiveArchitect i Red Dev 18. Des d'almenys el 2021, el grup ha atacat constantment proveïdors de telecomunicacions a tot l'Orient Mitjà i Àsia, establint accés profund i encobert dins de sistemes crítics.

Cèl·lules digitals dorments: tècniques avançades de persistència

Els investigadors de seguretat han qualificat els mecanismes d'accés utilitzats en aquesta campanya com uns dels més encoberts mai observats en xarxes de telecomunicacions. Aquestes tècniques funcionen com a cel·les digitals dorments, romanent inactives i sense ser detectades fins que s'activen.

Els atacants es basen en una combinació d'eines i tècniques altament avançades, com ara:

  • Implants a nivell de nucli que operen en les profunditats del sistema operatiu
  • Portes del darrere passives que eviten els mètodes de detecció tradicionals
  • Utilitats de recopilació de credencials per recopilar dades d'accés sensibles
  • Marcs de comandament i control multiplataforma que permeten operacions flexibles

Aquestes capacitats permeten a l'actor de l'amenaça mantenir la persistència a llarg termini alhora que minimitza l'activitat detectable.

BPFDoor: La porta del darrere invisible del nucli

Al centre d'aquesta campanya hi haBPFDoor , una porta del darrere basada en Linux que exemplifica la furtivitat i la sofisticació. A diferència del programari maliciós tradicional, aquest implant evita la creació d'indicadors de xarxa detectables.

En lloc d'obrir ports o mantenir canals de comunicació visibles, BPFDoor explota la funcionalitat del filtre de paquets Berkeley (BPF) dins del nucli de Linux. Inspecciona el trànsit de xarxa internament i s'activa només quan rep un paquet "màgic" especialment dissenyat.

Aquest disseny elimina la necessitat d'escoltadors persistents o d'activitat de beaconing, integrant eficaçment un mecanisme d'accés ocult directament al sistema operatiu. El resultat és un punt d'entrada pràcticament invisible que és extremadament difícil de detectar mitjançant eines de monitorització convencionals.

Compromís inicial: explotació de la infraestructura perimetral

La cadena d'atac normalment comença atacant sistemes i dispositius perimetrals orientats a Internet. Aquests inclouen passarel·les VPN, tallafocs i serveis orientats a la web, especialment els associats amb les principals tecnologies empresarials.

Un cop s'aconsegueix l'accés inicial, els atacants despleguen un conjunt d'eines de postexplotació per ampliar el seu control. Aquestes inclouen marcs de treball com CrossC2, juntament amb Sliver, TinyShell, keyloggers i utilitats de força bruta. Juntes, aquestes eines permeten la recol·lecció de credencials, el reconeixement intern i el moviment lateral a través d'entorns compromesos.

Arquitectura de doble component: control i activació

BPFDoor funciona mitjançant una arquitectura de dues parts dissenyada per a la precisió i la discreció. Un component resideix al sistema compromès, monitoritzant passivament el trànsit entrant per a un paquet activador predefinit. En detectar-lo, s'activa generant un shell remot.

El segon component és un controlador operat per l'atacant. Aquest controlador envia paquets especialment dissenyats per activar implants i també pot funcionar dins de l'entorn de la víctima. Quan es desplega internament, pot disfressar-se de processos legítims del sistema, coordinar infeccions addicionals i facilitar el moviment lateral controlat entre sistemes.

Vigilància a nivell de telecomunicacions: més enllà de les portes del darrere tradicionals

Certes variants de BPFDoor demostren capacitats que van més enllà de la funcionalitat estàndard de porta del darrere. La compatibilitat amb el protocol de transmissió de control de flux (SCTP) permet la supervisió de les comunicacions específiques de telecomunicacions.

Aquesta capacitat permet als atacants obtenir informació sobre l'activitat dels subscriptors, rastrejar el comportament dels usuaris i, potencialment, determinar les ubicacions físiques de les persones d'interès. Com a resultat, BPFDoor serveix eficaçment com a capa de vigilància integrada dins de la infraestructura de telecomunicacions, proporcionant visibilitat a llarg termini i amb baix soroll de les operacions sensibles.

Evasió reinventada: noves variants i millores de furt

Una variant recentment identificada de BPFDoor introdueix millores arquitectòniques dissenyades per millorar l'evasió i la longevitat. Els avenços clau inclouen:

  • Ocultació de paquets desencadenants dins d'un trànsit HTTPS aparentment legítim
  • Aplicació d'un marcador de desplaçament de bytes fix ('9999') per a una detecció d'activació fiable
  • Introducció de la comunicació basada en ICMP entre hosts infectats per a una interacció de baix perfil

Aquestes tècniques permeten que el trànsit maliciós es barregi perfectament amb l'activitat normal de la xarxa, reduint significativament la probabilitat de detecció i mantenint una execució d'ordres fiable.

Artesania en evolució: més a fons en la pila

La campanya destaca un canvi més ampli en la metodologia dels atacants. En lloc de confiar únicament en programari maliciós de l'espai d'usuari, els adversaris estan integrant cada cop més implants més profundament dins de la pila informàtica, especialment a nivell de nucli i infraestructura.

Els entorns de telecomunicacions són objectius especialment atractius a causa de la seva complexitat, que inclou sistemes nus, capes de virtualització, maquinari de xarxa d'alt rendiment i components bàsics 4G/5G en contenidors. En integrar-se amb serveis legítims i entorns d'execució, aquests implants poden evadir les defenses tradicionals dels endpoints i persistir sense ser detectats durant períodes prolongats.

Conclusió: Una nova frontera en el ciberespionatge

Aquesta campanya demostra una evolució significativa en les tàctiques de ciberespionatge. Aprofitant la infraestructura de telecomunicacions i els mecanismes furtius a nivell de nucli, els atacants aconsegueixen accés a llarg termini i amb baixa visibilitat a entorns altament sensibles.

L'ús d'eines avançades com BPFDoor, combinat amb tècniques d'evasió innovadores i una integració profunda del sistema, assenyala un repte creixent per als defensors. La detecció i mitigació d'aquestes amenaces requereix una major visibilitat de les capes inferiors de la pila informàtica i un replantejament dels enfocaments de seguretat tradicionals.

Tendència

Més vist

Carregant...