Скидка на мультилицензию
База данных угроз Вредоносное ПО Шпионская кампания Красного Мэншена

Шпионская кампания Красного Мэншена

К Mezo году в Вредоносное ПО, Расширенная постоянная угроза (APT) году
Перевести на:

Целенаправленная и стратегически важная кампания кибершпионажа, связанная с субъектом, лояльным Китаю, успешно внедрилась в телекоммуникационные сети. Основная цель – слежка и проникновение в правительственную инфраструктуру с использованием телекоммуникационных сетей в качестве шлюза.

Эта длительная операция приписывается группе угроз, известной как Red Menshen, также отслеживаемой под псевдонимами Earth Bluecrow, DecisiveArchitect и Red Dev 18. По меньшей мере с 2021 года эта группа постоянно нацеливалась на телекоммуникационных провайдеров на Ближнем Востоке и в Азии, получая глубокий и скрытый доступ к критически важным системам.

Цифровые спящие ячейки: передовые методы обеспечения устойчивости

Исследователи в области безопасности охарактеризовали механизмы доступа, использованные в этой кампании, как одни из самых скрытных, когда-либо наблюдавшихся в телекоммуникационных сетях. Эти методы функционируют как цифровые спящие ячейки, оставаясь в спящем режиме и незамеченными до момента активации.

Злоумышленники используют сочетание высокотехнологичных инструментов и методов, в том числе:

  • Имплантаты на уровне ядра, функционирующие глубоко внутри операционной системы.
  • Пассивные бэкдоры, позволяющие обходить традиционные методы обнаружения.
  • Утилиты для сбора учетных данных с целью получения конфиденциальной информации о доступе.
  • Кроссплатформенные системы управления и контроля, обеспечивающие гибкие операции.

Эти возможности позволяют злоумышленнику сохранять свою активность в течение длительного времени, минимизируя при этом обнаруживаемую активность.

BPFDoor: невидимый бэкдор в ядре.

В основе этой кампании лежитBPFDoor — бэкдор на базе Linux, отличающийся скрытностью и изощренностью. В отличие от традиционного вредоносного ПО, этот имплант не создает обнаруживаемых сетевых индикаторов.

Вместо открытия портов или поддержания видимых каналов связи, BPFDoor использует функциональность Berkeley Packet Filter (BPF) в ядре Linux. Он анализирует сетевой трафик внутри себя и активируется только при получении специально сформированного «магического» пакета.

Эта конструкция устраняет необходимость в постоянном прослушивании или передаче сигналов, эффективно внедряя скрытый механизм доступа непосредственно в операционную систему. В результате получается практически невидимая точка входа, которую крайне сложно обнаружить с помощью обычных инструментов мониторинга.

Первоначальный компромисс: использование возможностей периферийной инфраструктуры

Как правило, атака начинается с воздействия на системы, подключенные к интернету, и периферийные устройства. К ним относятся VPN-шлюзы, межсетевые экраны и веб-сервисы, особенно те, которые связаны с основными корпоративными технологиями.

Получив первоначальный доступ, злоумышленники развертывают набор инструментов для постэксплуатации, чтобы расширить свой контроль. К ним относятся такие фреймворки, как CrossC2, а также Sliver, TinyShell, кейлоггеры и утилиты для перебора паролей. В совокупности эти инструменты позволяют собирать учетные данные, проводить внутреннюю разведку и перемещаться по скомпрометированным средам.

Двухкомпонентная архитектура: управление и активация

BPFDoor работает на основе двухкомпонентной архитектуры, разработанной для обеспечения точности и скрытности. Один компонент находится на скомпрометированной системе и пассивно отслеживает входящий трафик на наличие заранее определенного триггерного пакета. При обнаружении он активируется, запуская удаленную оболочку.

Второй компонент — это контроллер, управляемый злоумышленником. Этот контроллер отправляет специально сформированные пакеты для активации имплантатов и может также функционировать в среде жертвы. При внутреннем развертывании он может маскироваться под легитимные системные процессы, координировать дополнительные заражения и обеспечивать контролируемое горизонтальное перемещение между системами.

Наблюдение на уровне телекоммуникаций: за пределами традиционных бэкдоров

Некоторые варианты BPFDoor демонстрируют возможности, выходящие за рамки стандартной функциональности бэкдора. Поддержка протокола Stream Control Transmission Protocol (SCTP) позволяет осуществлять мониторинг телекоммуникационных коммуникаций.

Эта возможность позволяет злоумышленникам получать информацию об активности абонентов, отслеживать поведение пользователей и потенциально определять физическое местоположение интересующих их лиц. В результате BPFDoor эффективно служит уровнем наблюдения, встроенным в телекоммуникационную инфраструктуру, обеспечивая долгосрочную, малошумную видимость важных операций.

Уклонение в новом прочтении: новые варианты и улучшения скрытности.

В новом варианте BPFDoor обнаружены архитектурные улучшения, призванные повысить уровень обхода защиты и долговечность. Ключевые усовершенствования включают в себя:

  • Скрытие пакетов-триггеров в кажущемся легитимным HTTPS-трафике
  • Использование фиксированного байтового смещения ('9999') для надежного обнаружения активации.
  • Представляем обмен данными между зараженными хозяями на основе протокола ICMP для незаметного взаимодействия.

Эти методы позволяют вредоносному трафику незаметно сливаться с обычной сетевой активностью, значительно снижая вероятность обнаружения и обеспечивая при этом надежное выполнение команд.

Развитие профессиональных навыков: более глубокое изучение стека технологий.

Кампания подчеркивает более масштабный сдвиг в методологии злоумышленников. Вместо того чтобы полагаться исключительно на вредоносное ПО пользовательского пространства, противники все чаще внедряют имплантаты глубже в вычислительную инфраструктуру, особенно на уровне ядра и инфраструктуры.

Телекоммуникационные среды особенно привлекательны для атак из-за своей сложности, которая включает в себя системы без операционной системы, уровни виртуализации, высокопроизводительное сетевое оборудование и контейнеризированные компоненты ядра 4G/5G. Интегрируясь с легитимными сервисами и средами выполнения, эти вредоносные программы могут обходить традиционные средства защиты конечных точек и оставаться незамеченными в течение длительного времени.

Заключение: Новый рубеж в кибершпионаже

Эта кампания демонстрирует значительную эволюцию тактики кибершпионажа. Используя телекоммуникационную инфраструктуру и механизмы скрытности на уровне ядра, злоумышленники получают долгосрочный, малозаметный доступ к крайне конфиденциальным средам.

Использование передовых инструментов, таких как BPFDoor, в сочетании с инновационными методами обхода защиты и глубокой системной интеграцией, представляет собой растущую проблему для специалистов по защите. Выявление и нейтрализация таких угроз требуют расширенного контроля над нижними уровнями вычислительной инфраструктуры и переосмысления традиционных подходов к обеспечению безопасности.

В тренде

Банковское вредоносное ПО VENON

Вредоносное ПО для мобильных устройств, Банковский троян
Исследователи в области кибербезопасности обнаружили новую кампанию банковского вредоносного ПО, нацеленную на пользователей в Бразилии. Вредоносная программа, получившая название VENON, знаменует...

Threatcleaner.info

Мошеннические сайты, Потенциально нежелательные программы
Неожиданные уведомления о безопасности, появляющиеся в веб-браузере, могут вызывать тревогу, особенно если они утверждают, что устройство заражено несколькими вирусами. В таких ситуациях крайне...

Наиболее просматриваемые

Загрузка...