Een belangrijk telecommunicatiebedrijf in Azië werd naar verluidt geschonden door Chinese door de staat gesponsorde hackers die meer dan vier jaar in zijn systemen hebben doorgebracht, volgens een nieuw rapport van incidentresponsbureau Sygnia.
Het Cybersecurity Company volgt de activiteit onder de naam Wever mierhet beschrijven van de dreigingsacteur als heimelijk en zeer persistent. De naam van de telecomprovider werd niet bekendgemaakt.
“Met behulp van webschalen en tunneling, handhaafden de aanvallers persistentie en faciliteerden ze cyberspionage,” zei Sygnia. “De groep achter deze inbraak (…) was bedoeld om continue toegang tot telecommunicatieproviders te krijgen en te handhaven en cyberspionage te vergemakkelijken door gevoelige informatie te verzamelen.”
De aanvalsketen zou de exploitatie van een openbaar-gerichte applicatie hebben betrekt om twee verschillende webschalen te laten vallen, een gecodeerde variant van China Chopper en een eerder kwaadaardig hulpmiddel zonder papieren genaamd inmemory. Het is vermeldenswaard dat China Chopper in het verleden door meerdere Chinese hackgroepen is gebruikt.
Inmemory is, zoals de naam al aangeeft, ontworpen om een base64-gecodeerde string te decoderen en deze volledig in het geheugen uit te voeren zonder het op schijf te schrijven, waardoor geen forensisch pad wordt achtergelaten.
“De ‘Inmemory’ webshell heeft de C# -code uitgevoerd in een Portable uitvoerbaar (PE) genaamd ‘Eval.Dll’, die uiteindelijk de payload uitvoert die wordt geleverd via een HTTP -verzoek,” zei Sygnia.
De webschalen zijn gevonden als een opstap om de volgende fase ladingen te leveren, de meest opvallende is een recursief HTTP-tunneltool dat wordt gebruikt om laterale beweging over SMB te vergemakkelijken, een tactiek die eerder werd aangenomen door andere dreigingsacteurs zoals olifantenkever.
Bovendien dient het gecodeerde verkeer dat door de Web Shell -tunnel gaat als een leiding om een reeks post -exploitatie -acties uit te voeren, waaronder –
- Patching Event Tracing voor Windows (ETW) en Antimalware Scan Interface (AMSI) om detectie te omzeilen
- System.management.automation.dll gebruiken om PowerShell -opdrachten uit te voeren zonder PowerShell.exe te initiëren, en
- Het uitvoeren van verkenningsopdrachten tegen de gecompromitteerde Active Directory-omgeving om hoogwaardige accounts en kritische servers te identificeren
Sygnia zei dat Weaver Ant kenmerken vertoont die meestal geassocieerd zijn met een China-Nexus Cyber Espionage Group vanwege de targetingpatronen en de “goed gedefinieerde” doelen van de campagne.
Deze link wordt ook bewezen door de aanwezigheid van de China Chopper Web Shell, het gebruik van een Operational Relay Box (ORB) -netwerk bestaande uit Zyxel-routers om te proxyverkeer en hun infrastructuur, de werktijden van de hackers en de implementatie van een Outlook-gebaseerde achterdeur die vroeger werd toegeschreven aan Emissary Panda te verdoezelen.
“Gedurende deze periode heeft Weaver Ant hun TTP’s aangepast aan de zich ontwikkelende netwerkomgeving, met behulp van innovatieve methoden om toegang te krijgen en hun voet aan de grond te houden,” zei het bedrijf. “De modus operandi van de indringers van Chinees-Nexus omvat meestal het delen van tools, infrastructuur en af en toe mankracht-zoals via gedeelde aannemers.”
China identificeert 4 Taiwanese hackers naar verluidt achter spionage
De openbaarmaking komt dagen nadat het Chinese ministerie van Staatsveiligheid (MSS) vier personen beschuldigde die naar verluidt verbonden waren met het leger van Taiwan van het uitvoeren van cyberaanvallen tegen het vasteland. Taiwan heeft de aantijgingen weerlegd.
De MSS zeiden dat de vier personen lid zijn van Taiwan’s Information, Communications and Electronic Force Command (ICEFCOM), en dat de entiteit zich bezighoudt met phishing -aanvallen, propaganda -e -mails gericht op overheid en militaire instanties en desinformatiecampagnes met behulp van sociale media -aliases.
De intrusies zouden ook naar verluidt het uitgebreide gebruik van open-source tools zoals de Antsword Web Shell, ICESCorpion, Metasploit en Quasar Rat hebben betreffen.
“De ‘Information, Communications and Electronic Force Command’ heeft specifiek hackers en cybersecuritybedrijven ingehuurd als externe ondersteuning om de cyberoorlogvoeringrichtlijnen uit te voeren die zijn uitgegeven door de Democratic Progressive Party (DPP) -autoriteiten,” zei het. “Hun activiteiten omvatten spionage, sabotage en propaganda.”
Samenvallend met de MSS-verklaring, hebben Chinese cybersecuritybedrijven Qianxin en Antiy gedetailleerde speer-phishing-aanvallen georkestreerd door een Taiwanese bedreigingsacteur Codeaamde apt-q-20 (aka apt-c-01, greenspot, gif cloud-wijnstok en witte dolfijn) Kobaltstaking en Sliver.
Andere initiële toegangsmethoden omvatten de exploitatie van N-Day beveiligingskwetsbaarheden en zwakke wachtwoorden in internet of dingen-apparaten zoals routers, camera’s en firewalls, voegde Qianxin toe, en karakteriseert de activiteiten van de dreigingsacteur als “niet bijzonder slim”.
