Overheids- en telecommunicatieorganisaties in Afrika, het Midden-Oosten en Azië zijn naar voren gekomen als het doelwit van een eerder niet-gedocumenteerde China-uitgelijnde natiestaatacteur nagesynchroniseerd Phantom Taurus in de afgelopen twee en een half jaar.
“De belangrijkste focusgebieden van Phantom Taurus zijn ministeries van buitenlandse zaken, ambassades, geopolitieke evenementen en militaire operaties,” zei Palo Alto Networks Unit 42 -onderzoeker Lior Rochberger. “Het primaire doel van de groep is spionage. De aanvallen zijn stealth, persistentie en een vermogen om snel hun tactiek, technieken en procedures (TTP’s) aan te passen.”
Het is de moeite waard erop te wijzen dat de hackgroep voor het eerst werd gedetailleerd door het Cybersecurity Company in juni 2023 onder de naam CL-Sta-0043. Vervolgens werd afgelopen mei afgestudeerd aan een tijdelijke groep, TGR-STA-0043, na onthullingen over de aanhoudende cyberspionage-inspanningen gericht op overheidsinstellingen sinds ten minste eind 2022 als onderdeel van een campagne met campagnediplomatiek spook.
Unit 42 zei dat de voortdurende observatie van de groep voldoende bewijs leverde om het te classificeren als een nieuwe dreigingsacteur wiens primaire doel is om langdurige inlichtingenverzameling mogelijk te maken en vertrouwelijke gegevens te verkrijgen van doelen die van strategisch belang zijn voor China, zowel economisch als geopolitisch.
“De groep heeft belangstelling voor diplomatieke communicatie, defensiegerelateerde inlichtingen en de activiteiten van kritieke overheidsministeries,” zei het bedrijf. “De timing en reikwijdte van de activiteiten van de groep vallen vaak samen met grote wereldwijde evenementen en regionale veiligheidszaken.”
Dit aspect is vooral onthullend, niet in het minst omdat andere Chinese hackgroepen ook een vergelijkbare aanpak hebben omarmd. Bijvoorbeeld, een nieuwe tegenstander die wordt gevolgd door opgenomen toekomst, aangezien Rednovember wordt beoordeeld als gerichte entiteiten in Taiwan en Panama in de nabijheid van “geopolitieke en militaire gebeurtenissen van belangrijk strategisch belang voor China.”
De modus operandi van Phantom Taurus onderscheidt zich ook vanwege het gebruik van op maat gemaakte hulpmiddelen en technieken die zelden in het landschap van de dreiging worden waargenomen. Dit omvat een nooit eerder geziene op maat gemaakte malware-suite genaamd Net-Star. Ontwikkeld in .NET, is het programma ontworpen om internetinformatie -services (IIS) webservers te targeten.
Dat gezegd hebbende, de hacking crew heeft vertrouwd op gedeelde operationele infrastructuur die eerder is gebruikt door groepen zoals AT27 (aka Iron Taurus), APT41 (aka zetmeelachtige Taurus of Winnti) en Mustang Panda (aka staty Taurus). Omgekeerd zijn de infrastructuurcomponenten die door de dreigingsacteur worden gebruikt niet gedetecteerd in operaties die door anderen zijn uitgevoerd, wat wijst op een soort van “operationele compartimentering” binnen het gedeelde ecosysteem.
De exacte initiële toegangsvector is niet duidelijk, maar eerdere intrusies hebben kwetsbare on-premises internetinformatiediensten (IIS) en Microsoft Exchange-servers, misbruik van fouten zoals proxylogon en proxyshell, om doelnetwerken te infiltreren.
Een ander belangrijk facet van de aanvallen is de verschuiving van het verzamelen van e -mails naar de directe targeting van databases met behulp van een batchscript dat het mogelijk maakt om verbinding te maken met een SQL Server -database, de resultaten exporteren in de vorm van een CSV -bestand en de verbinding beëindigen. Het script wordt uitgevoerd met behulp van de Windows Management Instrumentation (WMI) -infrastructuur.
Unit 42 zei dat de dreigingsacteur deze methode gebruikte om methodisch te zoeken naar interessante documenten en informatie met betrekking tot specifieke landen zoals Afghanistan en Pakistan.
Recente aanvallen die door Phantom Taurus zijn gemonteerd, hebben ook gebruik gemaakt van net-star, die bestaat uit drie webgebaseerde backdoors, die elk een specifieke functie vervullen met behoud van de toegang tot de gecompromitteerde IIS-omgeving-
- IiservercoreEen filess modulaire achterdeur geladen door middel van een ASPX-webschelp die in-memory-uitvoering van opdrachtregelargumenten, willekeurige opdrachten en payloads ondersteunt en de resultaten verzendt in een gecodeerd command-and-control (C2) communicatiekanaal
- AssemblyExecuter v1die extra .NET -payloads in het geheugen laadt en uitvoert
- AssemblyExecuter v2een verbeterde versie van AssemblyExecuter v1 die ook wordt geleverd met de mogelijkheid om Antimalware Scan Interface (AMSI) en gebeurtenistracering voor Windows (ETW) te omzeilen.
“De netster-malwaresuite toont de geavanceerde ontwijkingstechnieken van Phantom Taurus en een diep begrip van .NET-architectuur, wat een belangrijke bedreiging vormt voor servers op internet,” zei Unit 42. “Iiservercore ondersteunt ook een commando genaamd ChangelastModified. Dit suggereert dat de malware actieve tijdstipmogelijkheden heeft, ontworpen om beveiligingsanalisten en digitale forensische tools te verwarren.”
