Kineska grupa hakera pod nazivom Alloy Taurus koristi Linux varijantu backdoor-a pod nazivom PingPull, kao i novi nedokumentovani alat kodnog imena Sword2033.
To je prema nalazima jedinice Palo Alto Networks 42, koja je otkrila nedavne maliciozne kibernetičke aktivnosti koje je izvršila grupa usmjerena na Južnu Afriku i Nepal.
Alloy Taurus je nadimak sa temom konstelacije koji je dodijeljen hakeru koji je poznat po svojim napadima usmjerenim na telekom kompanije od najmanje 2012. godine. Microsoft ga takođe prati kao Granite Typhoon, ranije Gallium.
Prošlog mjeseca, protivniku je pripisana kampanja pod nazivom Tainted Love koja je ciljala na telekomunikacione provajdere na Bliskom istoku kao dio šire operacije koja se naziva Soft Cell.
Nedavni napadi kibernetičke špijunaže koje je izveo Alloy Taurus takođe su proširili svoj viktimološki otisak na finansijske institucije i vladine subjekte.
PingPull, kojeg je prvi put dokumentovao Unit42 u junu 2022. godine, je trojanac za pristup na daljinu koji koristi Internet Control Message Protocol (ICMP) za komunikaciju naredbe i kontrole (C2).
Linux aroma malicioznog softvera, koji je postavljen na VirusTotal 7. marta 2023. godine, može se pohvaliti sličnim funkcijama kao i njegov Windows pandan, omogućavajući mu da izvršava operacije datoteka i izvodi proizvoljne komande prenošenjem sa C2 servera jednog velikog slova između A i K i M.
“Nakon izvršenja, ovaj uzorak je konfigurisan da komunicira sa domenom yrhsywu2009.zapto[.]org preko porta 8443 za C2” rekao je Unit42. “Koristi statički povezanu OpenSSL (OpenSSL 0.9.8e) biblioteku za interakciju s domenom preko HTTPS-a.”
Zanimljivo je da PingPull-ovo raščlanjivanje C2 instrukcija odražava onu iz China Chopper-a, web shell koju naširoko koriste kineski hakeri, sugerišući da haker prenamjenjuje postojeći izvorni kod kako bi osmislio prilagođene alate.
Pažljivije ispitivanje gore pomenutog domena takođe je otkrilo postojanje još jednog ELF artefakta, tj. Sword2033, koji podržava tri osnovne funkcije, uključujući učitavanje i eksfiltraciju fajlova u sistem i iz njega, i izvršavanje komandi.
Veze malicioznog softvera sa Alloy Taurus-om proizlaze iz činjenice da se domen razriješio na IP adresu koja je prethodno identifikovana kao aktivni indikator kompromisa (IoC) povezan s kampanjom 2021. godine koja je ciljala kompanije koje posluju u jugoistočnoj Aziji, Evropi i Africi.
Ciljanje na Južnu Afriku, prema kompaniji za kibernetičku bezbjednost, dolazi u pozadini toga što zemlja održava zajedničku desetodnevnu pomorsku vježbu s Rusijom i Kinom ranije ove godine.
“Alloy Taurus ostaje aktivna pretnja telekomunikacijama, finansijama i vladinim organizacijama širom jugoistočne Azije, Evrope i Afrike” navodi Unit42.
“Identifikacija Linux varijante malicioznog softvera PingPull, kao i nedavna upotreba Sword2033 backdoor-a, sugerišu da grupa nastavlja da razvija svoje operacije u svrhu podrške njihovim špijunskim aktivnostima.”
Izvor: The Hacker News