Primijećeni su nepoznati hakeri kako koriste alate otvorenog koda kao dio sumnjive kampanje cyber špijunaže usmjerene na organizacije globalne vlade i privatnog sektora.
Recorded Future’s Insikt Group prati aktivnosti pod privremenim imenom TAG-100, napominjući da je protivnik vjerovatno kompromitovao organizacije u najmanje deset zemalja širom Afrike, Azije, Sjeverne Amerike, Južne Amerike i Okeanije, uključujući dvije neimenovane azijsko-pacifičke međuvladine organizacije .
Od februara 2024. godine izdvajaju se i diplomatski, vladini, lanac snabdevanja poluprovodnicima, neprofitni i vjerski entiteti koji se nalaze u Kambodži, Džibutiju, Dominikanskoj Republici, Fidžiju, Indoneziji, Holandiji, Tajvanu, Velikoj Britaniji, SAD i Vijetnamu.
„TAG-100 koristi mogućnosti udaljenog pristupa otvorenog koda i koristi različite uređaje koji se nalaze na internetu kako bi dobili početni pristup,“ saopštila je kompanija za cyber sigurnost. „Grupa je koristila open-source Go backdoors Pantegana i Spark RAT nakon eksploatacije.“
Lanci napada uključuju iskorištavanje poznatih sigurnosnih propusta koji utiču na različite proizvode koji se nalaze na Internetu, uključujući Citrix NetScaler, F5 BIG-IP, Zimbra, Microsoft Exchange Server, SonicWall, Cisco Adaptive Security Appliances (ASA), Palo Alto Networks GlobalProtect i Fortinet FortiGate.
Grupa je takođe primijećena kako provodi opsežnu izviđačku aktivnost usmjerenu na uređaje koji se nalaze na internetu koji pripadaju organizacijama u najmanje petnaest zemalja, uključujući Kubu, Francusku, Italiju, Japan i Maleziju. Ovo je takođe uključivalo nekoliko kubanskih ambasada koje se nalaze u Boliviji, Francuskoj i SAD.
“Počevši od 16. aprila 2024. godine, TAG-100 je izvršio vjerovatne aktivnosti izviđanja i eksploatacije usmjerene na uređaje Palo Alto Networks GlobalProtect organizacija, uglavnom sa sjedištem u SAD-u, u okviru sektora obrazovanja, finansija, prava, lokalne uprave i komunalnih usluga”, kompanija rekao je.
Rečeno je da se ovaj napor poklopio sa javnim objavljivanjem eksploatacije dokaza o konceptu (PoC) za CVE-2024-3400 (CVSS rezultat: 10,0), kritičnu ranjivost daljinskog izvršavanja koda koja utiče na vatrozidove GlobalProtect Palo Alto Networks.
Nakon uspješnog početnog pristupa slijedi raspoređivanje Pantegana, Spark RAT i Cobalt Strike Beacon na ugroženim hostovima.
Nalazi ilustruju kako se eksploatacija PoC-a može kombinovati sa programima otvorenog koda za orkestriranje napada, efektivno snižavajući barijeru za ulazak manje sofisticiranih aktera. Nadalje, takva trgovina omogućava protivnicima da zakomplikuju napore pripisivanja i izbjegnu otkrivanje.
“Rasprostranjeno ciljanje uređaja koji su okrenuti internetu posebno je atraktivno jer nudi uporište unutar ciljane mreže putem proizvoda koji često imaju ograničenu vidljivost, mogućnosti evidentiranja i podršku za tradicionalna sigurnosna rješenja, smanjujući rizik od otkrivanja nakon eksploatacije”, zapisano Budućnost je rekla.
Izvor:The Hacker News