Rabattoffert för flera licenser
Hotdatabas Skadlig programvara Röda Menshen-spionagekampanjen

Röda Menshen-spionagekampanjen

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT)
Översätt till:

En ihållande och mycket strategisk cyberspionagekampanj kopplad till en Kina-allierad hotaktör har framgångsrikt etablerat sig i telekommunikationsnätverk. Det primära målet är att övervaka och infiltrera regeringsrelaterad infrastruktur genom att utnyttja telekommiljöer som en inkörsport.

Denna långvariga operation tillskrivs hotklustret känt som Red Menshen, även spårat under alias som Earth Bluecrow, DecisiveArchitect och Red Dev 18. Sedan åtminstone 2021 har gruppen konsekvent riktat in sig på telekomleverantörer i Mellanöstern och Asien och etablerat djupt rotad och hemlig åtkomst i kritiska system.

Digitala sovceller: Avancerade persistenstekniker

Säkerhetsforskare har karakteriserat de åtkomstmekanismer som används i denna kampanj som bland de mest hemliga som någonsin observerats i telekomnätverk. Dessa tekniker fungerar som digitala sovceller, som förblir vilande och oupptäckta tills de aktiveras.

Angriparna förlitar sig på en kombination av mycket avancerade verktyg och tekniker, inklusive:

  • Kernel-nivåimplantat som fungerar djupt inne i operativsystemet
  • Passiva bakdörrar som undviker traditionella detekteringsmetoder
  • Verktyg för insamling av autentiseringsuppgifter för att samla in känslig åtkomstdata
  • Plattformsoberoende kommando- och kontrollramverk som möjliggör flexibel drift

Dessa funktioner gör det möjligt för hotaktören att upprätthålla långsiktig beständighet samtidigt som detekterbar aktivitet minimeras.

BPFDoor: Den osynliga bakdörren i kärnan

I centrum för denna kampanj liggerBPFDoor , en Linux-baserad bakdörr som exemplifierar smygande och sofistikerad hantering. Till skillnad från traditionell skadlig kod undviker detta implantat att skapa detekterbara nätverksindikatorer.

Istället för att öppna portar eller upprätthålla synliga kommunikationskanaler utnyttjar BPFDoor Berkeley Packet Filter (BPF)-funktionalitet i Linuxkärnan. Den inspekterar nätverkstrafik internt och aktiveras endast när den tar emot ett specialutvecklat "magiskt" paket.

Denna design eliminerar behovet av ihållande lyssnare eller beacon-aktivitet, och bäddar effektivt in en dold åtkomstmekanism direkt i operativsystemet. Resultatet är en praktiskt taget osynlig ingångspunkt som är extremt svår att upptäcka med konventionella övervakningsverktyg.

Inledande kompromiss: Utnyttjande av edge-infrastruktur

Attackkedjan börjar vanligtvis med att rikta in sig på internetanslutna system och edge-enheter. Dessa inkluderar VPN-gateways, brandväggar och webbanslutna tjänster, särskilt de som är kopplade till större företagsteknologier.

När initial åtkomst uppnåtts, använder angriparna en uppsättning verktyg efter utnyttjandet för att utöka sin kontroll. Dessa inkluderar ramverk som CrossC2, tillsammans med Sliver, TinyShell, keyloggers och brute-force-verktyg. Tillsammans möjliggör dessa verktyg insamling av autentiseringsuppgifter, intern rekognoscering och lateral förflyttning över komprometterade miljöer.

Dubbelkomponentsarkitektur: Kontroll och aktivering

BPFDoor fungerar genom en tvådelad arkitektur utformad för precision och stealth. En komponent finns på det komprometterade systemet och övervakar passivt inkommande trafik för ett fördefinierat triggerpaket. Vid detektering aktiveras den genom att skapa ett fjärrskal.

Den andra komponenten är en kontrollenhet som styrs av angriparen. Denna kontrollenhet skickar specialutformade paket för att aktivera implantat och kan även fungera i offrets miljö. När den distribueras internt kan den dölja sig som legitima systemprocesser, koordinera ytterligare infektioner och underlätta kontrollerad lateral förflyttning mellan system.

Övervakning på telekomnivå: Bortom traditionella bakdörrar

Vissa varianter av BPFDoor uppvisar funktioner som sträcker sig utöver standardfunktionalitet för bakdörrar. Stöd för Stream Control Transmission Protocol (SCTP) möjliggör övervakning av telekomspecifik kommunikation.

Denna funktion gör det möjligt för angripare att få insikt i abonnentaktivitet, spåra användarbeteende och potentiellt fastställa fysiska platser för intresserade individer. Som ett resultat fungerar BPFDoor effektivt som ett övervakningslager inbäddat i telekominfrastrukturen, vilket ger långsiktig, brusfri insyn i känsliga operationer.

Evasion Reinvented: Nya varianter och Stealth-förbättringar

En nyligen identifierad variant av BPFDoor introducerar arkitektoniska förbättringar utformade för att förbättra undvikande och hållbarhet. Viktiga framsteg inkluderar:

  • Dölja triggerpaket i till synes legitim HTTPS-trafik
  • Tillämpa en fast byte-offsetmarkör ('9999') för tillförlitlig aktiveringsdetektering
  • Introducerar ICMP-baserad kommunikation mellan infekterade värdar för interaktion med låg profil

Dessa tekniker gör att skadlig trafik kan blandas sömlöst med normal nätverksaktivitet, vilket avsevärt minskar sannolikheten för upptäckt samtidigt som tillförlitlig kommandokörning bibehålls.

Utvecklande hantverk: Djupare in i stapeln

Kampanjen belyser ett bredare skifte i angriparmetoden. Istället för att enbart förlita sig på skadlig kod i användarutrymmet, bäddar motståndarna i allt högre grad in implantat djupare i datorstacken, särskilt på kärn- och infrastrukturnivå.

Telekommiljöer är särskilt attraktiva mål på grund av sin komplexitet, vilket inkluderar bare-metal-system, virtualiseringslager, högpresterande nätverkshårdvara och containeriserade 4G/5G-kärnkomponenter. Genom att integrera med legitima tjänster och runtime-miljöer kan dessa implantat kringgå traditionella endpoint-försvar och bestå oupptäckta under längre perioder.

Slutsats: En ny gräns inom cyberspionage

Denna kampanj visar på en betydande utveckling inom cyberspionage. Genom att utnyttja telekominfrastruktur och stealth-mekanismer på kärnnivå uppnår angripare långsiktig åtkomst till mycket känsliga miljöer med låg synlighet.

Användningen av avancerade verktyg som BPFDoor, i kombination med innovativa undvikande tekniker och djupgående systemintegration, signalerar en växande utmaning för försvarare. Att upptäcka och mildra sådana hot kräver förbättrad insyn i lägre lager av datorstacken och ett nytänkande kring traditionella säkerhetsmetoder.

Trendigt

Mest sedda

Läser in...