Now Reading
Chinesische Hacker zielen im Kontext neuesten Cyber-Angriffen gen Telekommunikationsunternehmen im Nahen Osten ab

Chinesische Hacker zielen im Kontext neuesten Cyber-Angriffen gen Telekommunikationsunternehmen im Nahen Osten ab

Latest Cyber Attacks

06.12.2022Ravie LakshmananFortgeschrittene anhaltende Gefahr

Eine böswillige Kampagne, die gen den Nahen Osten abzielt, ist wahrscheinlich damit verbunden BackdoorDiplomatieeine Advanced Persistent Threat (APT)-Schar mit Verbindungen zu Volksrepublik China.

Die Spionagetätigkeit, die sich gegen ein Telekommunikationsunternehmen in welcher Region richtete, soll am 19. August 2021 durch die erfolgreiche Auswertung von ProxyShell-Fehlern im Microsoft Exchange Server begonnen nach sich ziehen.

Die anfängliche Kompromittierung nutzte Binärdateien, die zu Gunsten von Seitenladetechniken schwächlich sind, gefolgt von welcher Verwendung einer Mischung aus legitimen und maßgeschneiderten Tools, um Rekognoszierung durchzuführen, Datenmaterial zu zusammenschließen, sich seitwärts durch die Umgebung zu in Bewegung setzen und welcher Kenntniserlangung zu entkommen.

„Dateiattribute welcher bösartigen Tools zeigten, dass die ersten Tools, die von den Bedrohungsakteuren eingesetzt wurden, dasjenige NPS-Proxy-Tool und die IRAFAU-Hintertür waren“, sagten die Bitdefender-Forscher Victor Vrabie und Adrian Schipor in einem Berichterstattung, welcher mit The Hacker News geteilt wurde.

„Ab Februar 2022 verwendeten die Bedrohungsakteure ein anderes Tool – [the] Quarian Backdoor, zusammen mit vielen anderen Scannern und Proxy-/Tunneling-Tools.”

Internet-Sicherheit

BackdoorDiplomacy wurde erstmals im Monat des Sommerbeginns 2021 von ESET dokumentiert, womit sich die Eingriffe hauptsächlich an diplomatische Einrichtungen und Telekommunikationsunternehmen in Alte Welt und im Nahen Osten richteten, um Quarian (zweitrangig vertraut qua Turian oder Whitebird) einzusetzen.

Neueste Cyber-Angriffe

Die Spionagemotive des Angriffs werden durch die Verwendung von Keylogger- und PowerShell-Skripten belegt, die zum Vereinen von Mail-Inhalten entwickelt wurden. IRAFAU, die erste Schadsoftware-Komponente, die ausgeliefert wird, nachdem sie Quadratlatsche gefasst hat, wird verwendet, um Informationen zu erspähen und sich seitwärts zu in Bewegung setzen.

Dies wird durch dasjenige Herunterladen und Uploaden von Dateien von und zu einem Command-and-Control-Server (C2), dasjenige Starten einer Remote-Shell und dasjenige Zugange sein beliebiger Dateien erleichtert.

Die zweite Hintertür, die im Kontext welcher Operation verwendet wird, ist eine aktualisierte Version von Quarian, die mit einem breiteren Sprung von Funktionen zur Prüfung des kompromittierten Hosts ausgestattet ist.

Ebenfalls zum Pfand kommt ein Tool namens Impersoni-fake-ator, dasjenige in legitime Dienstprogramme wie DebugView und Putty eingebettet ist und darauf ausgelegt ist, Systemmetadaten zu stapeln und eine entschlüsselte Nutzlast auszuführen, die vom C2-Server empfangen wird.

Dies Okkupation ist ferner durch die Verwendung von Open-Source-Software wie ToRat, einem Fernverwaltungstool von Golang, und AsyncRAT gekennzeichnet, womit letzteres wahrscheinlich obig Quarian hinfallen gelassen wird.

Bitdefenders Zuordnung des Angriffs zu BackdoorDiplomacy beruht gen Überschneidungen in welcher C2-Unterbau, die von welcher Schar in früheren Kampagnen verwendet wurden.

Fanden Sie diesen Begleiter interessant? Folge uns gen Twitter und LinkedIn, um weitere ohne Inhalte zu Vorlesung halten, die wir veröffentlichen.



What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top