Ερευνητές ασφάλειας της Symantec ανακάλυψαν μια νέα hacking ομάδα APT (Grayling) που επιτέθηκε κυρίως σε ταϊβανέζικους οργανισμούς, στα πλαίσια μιας εκστρατείας κυβερνοκατασκοπείας που διήρκησε τουλάχιστον τέσσερις μήνες.
Η Symantec ονόμασε την εκστρατεία και τη hacking ομάδα “Grayling” και ανέφερε ότι η κακόβουλη δραστηριότητα ξεκίνησε τον Φεβρουάριο του 2023 και συνεχίστηκε τουλάχιστον μέχρι τον Μάιο του 2023. Σε αυτό το διάστημα, οι hackers έκλεψαν ευαίσθητες πληροφορίες από εταιρείες κατασκευής, τεχνολογίας και βιοϊατρικής στην Ταϊβάν, ενώ θύματα υπήρξαν και σε άλλες περιοχές (Ηνωμένες Πολιτείες, Βιετνάμ και Pacific Islands).
Η ομάδα χρησιμοποίησε DLL sideloading μέσω του εξαγόμενου API “SbieDll_Hook” για να φορτώσει εργαλεία όπως το Cobalt Strike Stager, το οποίο οδήγησε στο δημοφιλές εργαλείο Cobalt Strike Beacon. Επίσης, οι hackers εγκατέστησαν το “Havoc“, ένα open-source, post-exploitation command-and-control (C2) framework, που χρησιμοποιείται κατά παρόμοιο τρόπο με το Cobalt Strike.
Δείτε επίσης: 23andMe: Χάκερ έχει κλέψει τις γενετικές πληροφορίες των χρηστών
Σύμφωνα με την έκθεση, η ομάδα Grayling χρησιμοποίησε το spyware NetSpy, εκμεταλλεύτηκε ένα παλαιό σφάλμα των Windows (CVE-2019-0803) και κατέβασε και εκτέλεσε κώδικα shellcode.
Επιπλέον, όπως λένε οι ερευνητές της Symantec, οι hackers Grayling σταματούν όλες τις διεργασίες που αναφέρονται σε ένα αρχείο που ονομάζεται processlist.txt και κατεβάζουν το εργαλείο κλοπής credentials, Mimikatz.
“Αν και δεν βλέπουμε να εξάγονται δεδομένα από τα μηχανήματα των θυμάτων, η δραστηριότητα που βλέπουμε και τα εργαλεία που αναπτύσσονται, δείχνουν ότι το κίνητρο πίσω από αυτή τη δραστηριότητα είναι η συλλογή πληροφοριών“.
Οι ερευνητές εξηγούν ότι ο τρόπος δράσης της ομάδας Grayling είναι χαρακτηριστικός των ομάδων APT. Αυτές οι ομάδες χρησιμοποιούν custom και δημόσια διαθέσιμα εργαλεία (τα τελευταία βοηθούν στην αποφυγή ανίχνευσης). Τα Havoc και Cobalt Strike είναι ιδιαίτερα χρήσιμα, προσφέροντας μια ευρεία γκάμα δυνατοτήτων post-exploitation.
Δείτε επίσης: Spyhide: Ένα ακόμα κορυφαίο spyware για κινητά έχει τεθεί εκτός λειτουργίας
Η Symantec λέει ότι πολλοί hackers (ακόμα και οι έμπειροι) επιλέγουν εργαλεία που είναι διαθέσιμα για όλους, αντί για custom εργαλεία με παρόμοιες δυνατότητες. Η χρήση αυτών των εργαλείων μπορεί, επίσης, να καταστήσει πιο δύσκολη την απόδοση της κακόβουλης δραστηριότητας σε μια συγκεκριμένη hacking ομάδα.
Η εταιρεία δεν συνδέει τους hackers με κάποια συγκεκριμένη κυβέρνηση, αλλά οι στόχοι της Grayling ευθυγραμμίζονται με τα γεωπολιτικά συμφέροντα του Πεκίνου.
Προστασία από hackers
Στη σύγχρονη εποχή της ψηφιακής τεχνολογίας, η εκπαίδευση στην κυβερνοασφάλεια έχει γίνει απαραίτητη για τις επιχειρήσεις. Γι’ αυτό, οι επιχειρήσεις πρέπει να δίνουν έμφαση στην ενημέρωση και την εκπαίδευση των υπαλλήλων έναντι απειλών.
Αναγνώριση οικείων απειλών και παραβιάσεων
Τόσο οι ομάδες IT όσο και οι υπόλοιποι υπάλληλοι πρέπει να γνωρίζουν τις συνηθισμένες μορφές κυβερνοεπιθέσεων. Επίσης, είναι απαραίτητο να είμαστε ενήμεροι για τις τελευταίες τεχνικές που χρησιμοποιούν οι hackers:
- Phishing: Οι επιτιθέμενοι συχνά αποστέλλουν ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου που μοιάζουν επίσημα για να αποσπάσουν προσωπικές πληροφορίες.
- Malware: Προγράμματα που εγκαθίστανται χωρίς την άδεια του χρήστη και μπορούν να καταστρέψουν αρχεία ή να κλέψουν πληροφορίες.
- Ransomware: Ένας τύπος malware που κρυπτογραφεί αρχεία και ζητά λύτρα για την αποκρυπτογράφησή τους.
Δείτε επίσης: LightSpy iPhone spyware: Συνδέεται με τους hackers APT41;
Τακτικές εκπαίδευσης
Όπως και στον πραγματικό κόσμο, στον ψηφιακό κόσμο οι απειλές αναπτύσσονται και μεταβάλλονται με ταχύ ρυθμό. Πρέπει να είμαστε συνεχώς ανήσυχοι και προετοιμασμένοι για αυτήν την εξέλιξη; Μπορούμε να αντιμετωπίσουμε αποτελεσματικά αυτόν τον κίνδυνο ακόμη και αν δεν είμαστε ειδικοί στην κυβερνοασφάλεια;
- Συνεχής Ενημέρωση: Η εκπαίδευση για την κυβερνοασφάλεια δεν πρέπει να γίνεται μόνο μια φορά. Η τακτική ενημέρωση και η συχνή επανάληψη είναι απαραίτητες.
- Πρακτική Εμπειρία: Προκειμένου οι υπάλληλοι να κατανοήσουν πλήρως τους κινδύνους, μπορεί να είναι χρήσιμο να έχουν κάποια πραγματική επαφή με τις κυβερνοαπειλές (π.χ. συμμετοχή σε δοκιμές επίθεσης phishing με την έγκριση και την επίβλεψη ειδικών).
- Δημιουργία κατευθυντήριων οδηγιών: Οι οδηγίες για την ασφαλή πρόσβαση και χρήση των επιχειρηματικών πόρων είναι βασικές. Πρέπει να περιλαμβάνουν πληροφορίες για ισχυρά κωδικούς πρόσβασης, την προστασία των προσωπικών στοιχείων και την αναγνώριση phishing μηνυμάτων.
Πηγή: www.infosecurity-magazine.com