Η κινεζική ομάδα Moshen Dragon έχει βάλει στο στόχαστρό της παρόχους τηλεπικοινωνιακών υπηρεσιών στην Κεντρική Ασία, όπως ανακάλυψαν ερευνητές ασφαλείας.

Δείτε επίσης: Google: Κινεζική ομάδα hacking στοχεύει την κυβέρνηση της Ουκρανίας

Ενώ αυτή η νέα ομάδα απειλών έχει κάποια κοινά στοιχεία με το “RedFoxtrot” και το “Nomad Panda“, συμπεριλαμβανομένης της χρήσης παραλλαγών κακόβουλου λογισμικού ShadowPad και PlugX, υπάρχουν αρκετές διαφορές στη δραστηριότητά της.

Σύμφωνα με την Sentinel Labs, η Moshen Dragon είναι μια εξειδικευμένη ομάδα hacking με την ικανότητα να προσαρμόζει την προσέγγισή της ανάλογα με τις άμυνες που αντιμετωπίζει.

Οι hackers επιδιώκουν να φορτώσουν κακόβουλα DLL των Windows σε προϊόντα προστασίας από ιούς, να κλέψουν διαπιστευτήρια για να μετακινηθούν πλευρικά και τελικά να αποσπάσουν δεδομένα από μολυσμένα μηχανήματα.

Προς το παρόν, ο φορέας μόλυνσης είναι άγνωστος, επομένως η αναφορά της Sentinel Lab ξεκινά με την κατάχρηση προστασίας από ιούς, η οποία περιλαμβάνει προϊόντα από τις TrendMicro, Bitdefender, McAfee, Symantec και Kaspersky.

Επειδή αυτά τα προϊόντα AV εκτελούνται με υψηλά προνόμια στο λειτουργικό σύστημα Windows, η πλευρική φόρτωση ενός κακόβουλου DLL στη διεργασία τους, επιτρέπει στους hackers να εκτελούν κώδικα στο μηχάνημα με λίγους περιορισμούς και ενδεχομένως να αποφεύγουν τον εντοπισμό.

Δείτε ακόμα: ΗΠΑ: Κυρώσεις σε κινεζικές εταιρείες που βοηθούν τη Ρωσία

Η Moshen Dragon χρησιμοποιεί αυτή τη μέθοδο για να αναπτύξει το Impacket, ένα κιτ Python που δημιουργήθηκε για να διευκολύνει την πλευρική κίνηση και την απομακρυσμένη εκτέλεση κώδικα μέσω των οργάνων διαχείρισης των Windows (WMI).

Το Impacket συμβάλει επίσης στην κλοπή διαπιστευτηρίων, ενσωματώνοντας ένα εργαλείο ανοιχτού κώδικα που καταγράφει τις λεπτομέρειες της αλλαγής κωδικού πρόσβασης ακόμη και σε έναν τομέα.

Έχοντας πρόσβαση σε γειτονικά συστήματα, η ομάδα απειλών ρίχνει πάνω τους έναν παθητικό φορτωτή που επιβεβαιώνει ότι βρίσκεται στο σωστό μηχάνημα προτού ενεργοποιηθεί συγκρίνοντας το όνομα κεντρικού υπολογιστή με μια τιμή με σκληρό κώδικα.

Όπως προτείνει η Sentinel Labs, αυτό είναι μια ένδειξη ότι ο παράγοντας απειλής δημιουργεί ένα μοναδικό DLL για κάθε ένα από τα μηχανήματα που στοχεύει, μια άλλη ένδειξη της πολυπλοκότητας και της επιμέλειάς του.

Ο φορτωτής χρησιμοποιεί τον ανιχνευτή πακέτων WinDivert για να υποκλέψει την εισερχόμενη κίνηση μέχρι να λάβει τη συμβολοσειρά που απαιτείται για αυτο-αποκρυπτογράφηση και στη συνέχεια αποσυσκευάζει και εκκινεί το ωφέλιμο φορτίο.

Δείτε επίσης: Η ομάδα APT41 που υποστηρίζεται από την κινεζική κυβέρνηση παραβίασε τα δίκτυα 6 κυβερνήσεων των ΗΠΑ

Σύμφωνα με τη Sentinel Labs, τα ωφέλιμα φορτία περιλαμβάνουν παραλλαγές του PlugX και του ShadowPad, δύο backdoors που έχουν χρησιμοποιήσει πολλά κινεζικά APT τα τελευταία χρόνια. Ο τελικός στόχος του παράγοντα απειλής είναι η εξαγωγή δεδομένων από όσο το δυνατόν περισσότερα συστήματα.