Ponuda s popustom na više licenci
Baza prijetnji Malware Špijunska kampanja Red Menshen

Špijunska kampanja Red Menshen

Do Mezo. Malware, Napredna trajna prijetnja (APT). godine
Prevedi na:

Uporna i visoko strateška kampanja kibernetičke špijunaže povezana s prijetnjom povezanom s Kinom uspješno se ugradila u telekomunikacijske mreže. Primarni cilj je nadzor i infiltracija u vladinu infrastrukturu iskorištavanjem telekomunikacijskih okruženja kao pristupnika.

Ova dugotrajna operacija pripisuje se skupini prijetnji poznatoj kao Red Menshen, koja se prati i pod pseudonimima kao što su Earth Bluecrow, DecisiveArchitect i Red Dev 18. Od najmanje 2021. godine, grupa je dosljedno ciljala telekomunikacijske pružatelje usluga diljem Bliskog istoka i Azije, uspostavljajući duboko ukorijenjen i tajni pristup unutar kritičnih sustava.

Digitalne stanice spavanja: Napredne tehnike perzistencije

Istraživači sigurnosti okarakterizirali su mehanizme pristupa korištene u ovoj kampanji kao jedne od najtajnijih ikad viđenih u telekomunikacijskim mrežama. Ove tehnike funkcioniraju poput digitalnih ćelija spavača, ostajući neaktivne i neotkrivene dok se ne aktiviraju.

Napadači se oslanjaju na kombinaciju vrlo naprednih alata i tehnika, uključujući:

  • Implantati na razini jezgre koji djeluju duboko unutar operacijskog sustava
  • Pasivna stražnja vrata koja izbjegavaju tradicionalne metode otkrivanja
  • Uslužni programi za prikupljanje vjerodajnica za osjetljive podatke o pristupu
  • Višeplatformski okviri za zapovijedanje i kontrolu koji omogućuju fleksibilne operacije

Ove mogućnosti omogućuju akteru prijetnje da održi dugoročnu prisutnost uz minimiziranje detektabilne aktivnosti.

BPFDoor: Nevidljivi stražnji ulaz u kernel

U središtu ove kampanje nalazi seBPFDoor , Linux-bazirani backdoor koji predstavlja primjer prikrivenosti i sofisticiranosti. Za razliku od tradicionalnog zlonamjernog softvera, ovaj implantat izbjegava stvaranje uočljivih mrežnih indikatora.

Umjesto otvaranja portova ili održavanja vidljivih komunikacijskih kanala, BPFDoor iskorištava funkcionalnost Berkeley Packet Filtera (BPF) unutar Linux kernela. Interno pregledava mrežni promet i aktivira se samo kada primi posebno izrađen 'magični' paket.

Ovaj dizajn eliminira potrebu za stalnim slušačima ili aktivnostima praćenja, učinkovito ugrađujući skriveni mehanizam pristupa izravno u operativni sustav. Rezultat je praktički nevidljiva ulazna točka koju je izuzetno teško otkriti konvencionalnim alatima za praćenje.

Početni kompromis: Iskorištavanje rubne infrastrukture

Lanac napada obično započinje ciljanjem sustava i rubnih uređaja okrenutih prema internetu. To uključuje VPN pristupnike, vatrozidove i usluge okrenute prema webu, posebno one povezane s glavnim poslovnim tehnologijama.

Nakon što se ostvari početni pristup, napadači koriste niz alata za naknadnu eksploataciju kako bi proširili svoju kontrolu. To uključuje okvire poput CrossC2, zajedno sa Sliverom, TinyShellom, keyloggerima i alatima za brute-force analizu. Zajedno, ovi alati omogućuju prikupljanje vjerodajnica, interno izviđanje i lateralno kretanje kroz kompromitirana okruženja.

Dvokomponentna arhitektura: Upravljanje i aktivacija

BPFDoor djeluje putem dvodijelne arhitekture dizajnirane za preciznost i prikrivenost. Jedna komponenta se nalazi na kompromitiranom sustavu, pasivno prateći dolazni promet za unaprijed definirani okidački paket. Nakon otkrivanja, aktivira se pokretanjem udaljene ljuske.

Druga komponenta je kontroler kojim upravlja napadač. Ovaj kontroler šalje posebno izrađene pakete za aktiviranje implantata i može funkcionirati i unutar okruženja žrtve. Kada se primijeni interno, može se prikriti kao legitimni sistemski procesi, koordinirati dodatne infekcije i olakšati kontrolirano lateralno kretanje između sustava.

Nadzor na razini telekomunikacija: Više od tradicionalnih stražnjih vrata

Određene varijante BPFDoor-a pokazuju mogućnosti koje nadilaze standardnu funkcionalnost backdoor-a. Podrška za Stream Control Transmission Protocol (SCTP) omogućuje praćenje komunikacija specifičnih za telekomunikacije.

Ova mogućnost omogućuje napadačima uvid u aktivnost pretplatnika, praćenje ponašanja korisnika i potencijalno određivanje fizičkih lokacija pojedinaca od interesa. Kao rezultat toga, BPFDoor učinkovito služi kao nadzorni sloj ugrađen u telekomunikacijsku infrastrukturu, pružajući dugoročnu vidljivost osjetljivih operacija s niskom razinom šuma.

Ponovno osmišljeno izbjegavanje: Nove varijante i poboljšanja prikrivenosti

Novootkrivena varijanta BPFDoor-a uvodi arhitektonska poboljšanja osmišljena za poboljšanje izbjegavanja i dugotrajnosti. Ključna poboljšanja uključuju:

  • Prikrivanje okidačkih paketa unutar naizgled legitimnog HTTPS prometa
  • Nametanje fiksnog markera pomaka bajta ('9999') za pouzdano otkrivanje aktivacije
  • Uvođenje ICMP-bazirane komunikacije između zaraženih hostova za interakciju niskog profila

Ove tehnike omogućuju zlonamjernom prometu da se neprimjetno uklopi u normalnu mrežnu aktivnost, značajno smanjujući vjerojatnost otkrivanja uz održavanje pouzdanog izvršavanja naredbi.

Razvoj obrta: Dublje u stog

Kampanja ističe širu promjenu u metodologiji napadača. Umjesto da se oslanjaju isključivo na zlonamjerni softver u korisničkom prostoru, protivnici sve više ugrađuju implantate dublje u računalni stog, posebno na razini jezgre i infrastrukture.

Telekomunikacijska okruženja posebno su atraktivne mete zbog svoje složenosti, koja uključuje sustave bez ikakvih grešaka, slojeve virtualizacije, visokoučinkoviti mrežni hardver i kontejnerizirane 4G/5G osnovne komponente. Integracijom s legitimnim uslugama i okruženjima za izvođenje, ovi implantati mogu izbjeći tradicionalne obrane krajnjih točaka i ostati neotkriveni dulje vrijeme.

Zaključak: Nova granica u kibernetičkoj špijunaži

Ova kampanja pokazuje značajnu evoluciju u taktikama kibernetičke špijunaže. Iskorištavanjem telekomunikacijske infrastrukture i mehanizama prikrivenosti na razini jezgre, napadači postižu dugoročan, neprimjetan pristup vrlo osjetljivim okruženjima.

Korištenje naprednih alata poput BPFDoor-a, u kombinaciji s inovativnim tehnikama izbjegavanja i dubokom integracijom sustava, signalizira rastući izazov za branitelje. Otkrivanje i ublažavanje takvih prijetnji zahtijeva poboljšanu vidljivost u nižim slojevima računalnog steka i preispitivanje tradicionalnih sigurnosnih pristupa.

U trendu

Nagledanije

Učitavam...