Знижка на кілька ліцензій
База даних загроз Шкідливе програмне забезпечення Шпигунська кампанія Червоних Меншен

Шпигунська кампанія Червоних Меншен

До Mezo року в Шкідливе програмне забезпечення, Розширена постійна загроза (APT) році
Перекласти на:

Постійна та високостратегічна кампанія кібершпигунства, пов'язана зі зловмисником, пов'язаним з Китаєм, успішно впроваджена в телекомунікаційні мережі. Головною метою є спостереження та проникнення в урядову інфраструктуру, використовуючи телекомунікаційне середовище як шлюз.

Цю тривалу операцію пов'язують з кластером загроз, відомим як Red Menshen, який також відстежують під такими псевдонімами, як Earth Bluecrow, DecisiveArchitect та Red Dev 18. Принаймні з 2021 року група постійно атакує телекомунікаційних провайдерів по всьому Близькому Сходу та Азії, встановлюючи глибокий та прихований доступ до критично важливих систем.

Цифрові сплячі клітини: передові методи збереження стійкості

Дослідники з безпеки охарактеризували механізми доступу, що використовувалися в цій кампанії, як одні з найприхованіших, що коли-небудь спостерігалися в телекомунікаційних мережах. Ці методи функціонують як цифрові сплячі комірки, залишаючись неактивними та непоміченими до активації.

Зловмисники покладаються на комбінацію високотехнологічних інструментів та методів, зокрема:

  • Імплантати рівня ядра, що працюють глибоко в операційній системі
  • Пасивні бекдори, що уникають традиційних методів виявлення
  • Утиліти для збору облікових даних для збору конфіденційних даних доступу
  • Міжплатформні системи командування та управління, що забезпечують гнучкі операції

Ці можливості дозволяють зловмиснику підтримувати тривалу присутність, мінімізуючи виявлену активність.

BPFDoor: Невидимий бекдор у ядрі

У центрі цієї кампанії знаходитьсяBPFDoor , бекдор на базі Linux, який є взірцем прихованості та витонченості. На відміну від традиційного шкідливого програмного забезпечення, цей імплантат уникає створення виявних мережевих індикаторів.

Замість відкриття портів або підтримки видимих каналів зв'язку, BPFDoor використовує функціональність фільтра пакетів Berkeley (BPF) у ядрі Linux. Він перевіряє мережевий трафік внутрішньо та активується лише тоді, коли отримує спеціально створений «магічний» пакет.

Така конструкція усуває потребу в постійних слухачах або маякоподібній активності, ефективно вбудовуючи прихований механізм доступу безпосередньо в операційну систему. Результатом є практично невидима точка входу, яку надзвичайно важко виявити за допомогою звичайних інструментів моніторингу.

Початковий компроміс: використання периферійної інфраструктури

Ланцюг атаки зазвичай починається з атаки на системи та периферійні пристрої, підключені до Інтернету. До них належать VPN-шлюзи, брандмауери та веб-сервіси, особливо ті, що пов'язані з основними корпоративними технологіями.

Після отримання початкового доступу зловмисники розгортають набір інструментів для пост-експлуатації, щоб розширити свій контроль. До них належать такі фреймворки, як CrossC2, а також Sliver, TinyShell, кейлогери та утиліти грубої сили. Разом ці інструменти дозволяють збирати облікові дані, проводити внутрішню розвідку та здійснювати горизонтальне переміщення через скомпрометовані середовища.

Двокомпонентна архітектура: керування та активація

BPFDoor працює за двокомпонентною архітектурою, розробленою для точності та прихованості. Один компонент знаходиться на скомпрометованій системі, пасивно відстежуючи вхідний трафік на наявність заздалегідь визначеного тригерного пакета. Після виявлення він активується, створюючи віддалену оболонку.

Другий компонент – це контролер, яким керує зловмисник. Цей контролер надсилає спеціально створені пакети для активації імплантів, а також може функціонувати в середовищі жертви. При внутрішньому розгортанні він може маскуватися під легітимні системні процеси, координувати додаткові зараження та сприяти контрольованому горизонтальному переміщенню між системами.

Спостереження на телекомунікаційному рівні: більше, ніж традиційні бекдори

Деякі варіанти BPFDoor демонструють можливості, що виходять за рамки стандартної функціональності бекдора. Підтримка протоколу керування потоком передачі (SCTP) дозволяє моніторити зв'язок, пов'язаний з телекомунікаціями.

Ця можливість дозволяє зловмисникам отримувати інформацію про активність абонентів, відстежувати їхню поведінку та потенційно визначати фізичне місцезнаходження осіб, що становлять інтерес. Як результат, BPFDoor ефективно служить рівнем спостереження, вбудованим у телекомунікаційну інфраструктуру, забезпечуючи довгострокову, малошумну видимість конфіденційних операцій.

Ухилення заново: нові варіанти та покращення скритності

Нещодавно виявлений варіант BPFDoor впроваджує архітектурні покращення, спрямовані на покращення ухилення від атак та збільшення довговічності. Ключові покращення включають:

  • Приховування тригерних пакетів у, здавалося б, легітимному HTTPS-трафіку
  • Застосування фіксованого маркера зсуву байта ('9999') для надійного виявлення активації
  • Впровадження зв'язку на основі ICMP між інфікованими хостами для малопрофільної взаємодії

Ці методи дозволяють шкідливому трафіку безперешкодно поєднуватися зі звичайною мережевою активністю, значно знижуючи ймовірність виявлення, зберігаючи при цьому надійне виконання команд.

Розвиток ремесел: глибше занурення в стек

Кампанія підкреслює ширший зсув у методології зловмисників. Замість того, щоб покладатися виключно на шкідливе програмне забезпечення в просторі користувача, зловмисники все частіше вбудовують імплантати глибше в обчислювальний стек, особливо на рівні ядра та інфраструктури.

Телекомунікаційні середовища є особливо привабливими цілями через їхню складність, яка включає системи з нуля, шари віртуалізації, високопродуктивне мережеве обладнання та контейнеризовані основні компоненти 4G/5G. Інтегруючись із легітимними сервісами та середовищами виконання, ці імплантати можуть обходити традиційні засоби захисту кінцевих точок та залишатися непоміченими протягом тривалого часу.

Висновок: Новий рубіж у кібершпигунстві

Ця кампанія демонструє значну еволюцію в тактиці кібершпигунства. Використовуючи телекомунікаційну інфраструктуру та механізми приховування на рівні ядра, зловмисники отримують довгостроковий, малопомітний доступ до високочутливих середовищ.

Використання передових інструментів, таких як BPFDoor, у поєднанні з інноваційними методами ухилення від загроз та глибокою системною інтеграцією сигналізує про зростаючий виклик для захисників. Виявлення та зменшення таких загроз вимагає покращеної видимості нижчих рівнів обчислювального стеку та переосмислення традиційних підходів до безпеки.

В тренді

Банківське шкідливе програмне забезпечення VENON

Мобільні шкідливі програми, Банківський троян
Дослідники з кібербезпеки виявили нову кампанію банківського шкідливого програмного забезпечення, спрямовану на користувачів у Бразилії. Шкідливе програмне забезпечення під назвою VENON знаменує...

Threatcleaner.info

Шахрайські веб-сайти, Потенційно небажані програми
Несподівані сповіщення безпеки, що з’являються у веббраузері, можуть викликати тривогу, особливо коли вони стверджують, що пристрій заражено кількома вірусами. У таких ситуаціях важливо залишатися...

Найбільше переглянуті

Fuq.com

Програма захисту від шпигунського ПЗ, Шкідливе програмне забезпечення Mac
21,764
Fuq.com — це програма рекламного типу, яка рекламує веб-сайти з порнографічним вмістом. Рекламні кампанії цієї потенційно небажаної програми (PUP) є дуже агресивними. Вони змушують своїх жертв...
Завантаження...