Het Canadese Centrum voor Cyber Security en het US Federal Bureau of Investigation (FBI) hebben een advies waarschuwing uitgegeven voor cyberaanvallen die door de China gekoppelde zouttyfoonacteurs zijn opgezet om grote wereldwijde wereldwijde telecommunicatie-providers te overtreden als onderdeel van een cyberspionagecampagne.
De aanvallers gebruikten een kritieke Cisco IOS XE-software (CVE-2023-20198, CVSS-score: 10.0) om toegang te krijgen tot configuratiebestanden van drie netwerkapparaten geregistreerd op een Canadees telecommunicatiebedrijf medio februari 2025.
Van de dreigingsactoren wordt ook gezegd dat ze ten minste een van de bestanden hebben aangepast om een generieke routing -inkapseling (GRE) -tunnel te configureren, waardoor verkeersverzameling vanuit het netwerk mogelijk wordt. De naam van het beoogde bedrijf werd niet bekendgemaakt.
De agentschappen hebben waarschijnlijk dat de targeting waarschijnlijk verder gaat dan de telecommunicatiesector, zeiden dat de targeting van Canadese apparaten de dreigingsactoren in staat kan stellen informatie van de gecompromitteerde netwerken te verzamelen en ze als hefboom te gebruiken om extra apparaten te doorbreken.
“In sommige gevallen beoordelen we dat de activiteiten van de dreigingsactoren zeer waarschijnlijk beperkt waren tot netwerkverkenning”, volgens de alert.
De agentschappen wezen er verder op dat Edge Network-apparaten een aantrekkelijk doelwit blijven voor Chinese door de staat gesponsorde dreigingsactoren die op zoek zijn naar aanhoudende toegang tot telecomaanbieders.
De bevindingen komen aansluiten bij een eerder rapport uit de geregistreerde toekomst dat de exploitatie van CVE-2023-20198 en CVE-2023-20273 beschreef om telecom- en internetbedrijven in de VS, Zuid-Afrika en Italië te infiltreren, en de voeten in het opzetten van Gre-tunnels voor langetermijntoegang en data-exfiltratie.
UK NCSC waarschuwingen voor schoenenrek en paraplu staan malware op Fortinet -apparaten
De ontwikkeling komt wanneer het UK National Cyber Security Center (NCSC) twee verschillende malwarefamilies heeft onthuld, genaamd schoenenrek en overkoepelende stand die zijn gevonden gericht op Fortigate 100D -serie firewalls gemaakt door Fortinet.
Hoewel het schoenenrek een post-exploitatie-tool is voor externe shell-toegang en TCP-tunneling via een gecompromitteerd apparaat, is de paraplu-standaard ontworpen om shell-opdrachten uit te voeren die zijn uitgegeven door een aanvallergestuurde server.
Interessant is dat het schoenenrek gedeeltelijk is gebaseerd op een openbaar beschikbaar tool genaamd Reverse_shell, dat toevallig ook is hergebruikt door een China-Nexus-bedreigingscluster genaamd PurpleHaze om een Windows-implantaatcodeaam Goreshell te bedenken. Het is momenteel niet duidelijk of deze activiteiten gerelateerd zijn.
De NCSC zei dat het enkele overeenkomsten identificeerde tussen Umbrella Stand en Coathanger, een achterdeur die eerder door Chinese door de staat gesteunde hackers werd gebruikt in een cyberaanval gericht op een Nederlands Armed Forces-netwerk.
