Η προηγμένη ομάδα hacker APT41, εξαπέλυσε μια εκτεταμένη επίθεση που επηρέασε επιτυχώς μια σειρά από εταιρείες στον κλάδο των μέσων ενημέρωσης και της ψυχαγωγίας, της πληροφορικής, των μεταφορών, της εφοδιαστικής αλυσίδας και της αυτοκινητοβιομηχανίας. Και τώρα οι ειδικοί σε θέματα ασφαλείας θέλουν να εξετάσουν τα εργαλεία που χρησιμοποιεί η ομάδα Hacker APT41 στις επιθέσεις της.

Δείτε επίσης: Οι Κινέζοι hackers APT41 στοχεύουν Ιταλία, Ισπανία, Τουρκία και ΗΒ

Οι οργανισμοί-στόχοι της εκστρατείας προέρχονταν από ένα ευρύ φάσμα εθνών, όπως η Ταϊβάν, η Ταϊλάνδη, η Τουρκία, η Ιταλία, η Ισπανία και το Ηνωμένο Βασίλειο.

Από το 2023, η APT41 μπόρεσε να αποκτήσει και να διατηρήσει μακροπρόθεσμη, μη εξουσιοδοτημένη πρόσβαση σε πολλά δίκτυα θυμάτων, γεγονός που της επέτρεψε να συλλέγει ευαίσθητα δεδομένα για εκτεταμένη χρονική περίοδο.

Ποια είναι όμως τα εργαλεία που χρησιμοποιεί η APT41 Hacker Group

DUSTPAN και BEACON

Ένα C/C++ in-memory dropper, που ονομάζεται DUSTPAN αποκρυπτογραφεί και εκτελεί ένα ενσωματωμένο ωφέλιμο φορτίο.

«Αυτή τη φορά, η APT41 συγκάλειψε το DUSTPAN ως δυαδικό αρχείο των Windows εκτελώντας το κακόβουλο αρχείο ως w3wp.exe ή conn.exe. Επιπλέον, τα δείγματα DUSTPAN έγιναν μέσω των υπηρεσιών Windows», είπε η Microsoft.

Τα ωφέλιμα φορτία BEACON που φορτώθηκαν στη μνήμη από τα δείγματα DUSTPAN κρυπτογραφήθηκαν με chacha20.

Μετά την εκτέλεση, τα ωφέλιμα φορτία BEACON χρησιμοποίησαν το Cloudflare Workers ως κανάλια εντολών και ελέγχου (C2) ή αυτοδιαχειριζόμενη υποδομή που στεγάζεται πίσω από το Cloudflare για επικοινωνία.

Δείτε ακόμα: Η hacking συμμορία APT41 χρησιμοποιεί το κακόβουλο λογισμικό StealthVector

DUSTTRAP

Το DUSTTRAP είναι ένα πλαίσιο πρόσθετων πολλαπλών συστατικών, πολλαπλών σταδίων, που αποτελεί πολύτιμο εργαλείο στα χέρια της ομάδας APT41.

Για να συνδυάσει περαιτέρω τις κακόβουλες ενέργειές του με τη νόμιμη κυκλοφορία, το αποκρυπτογραφημένο ωφέλιμο φορτίο σε αυτήν την περίπτωση, προοριζόταν να ανοίξει κανάλια επικοινωνίας είτε με ελεγχόμενη από την APT41 υποδομή για εντολή και έλεγχο είτε με έναν παραβιασμένο λογαριασμό Google Workspace.

Το κακόβουλο λογισμικό DUSTTRAP και τα συνοδευτικά στοιχεία που ανακαλύφθηκαν κατά τη διάρκεια της επίθεσης ήταν υπογεγραμμένα με πιθανά κλεμμένα πιστοποιητικά υπογραφής κώδικα.

Φάνηκε ότι ένα από τα πιστοποιητικά ανήκε σε επιχείρηση της Νότιας Κορέας που ασχολείται με τη βιομηχανία τυχερών παιχνιδιών.

SQLULDR2 και PINEGROVE

Τα περιεχόμενα μιας απομακρυσμένης βάσης δεδομένων Oracle, μπορούν να εξαχθούν σε ένα τοπικό αρχείο κειμένου χρησιμοποιώντας το εργαλείο γραμμής εντολών C/C++ SQLULDR2.

Η Mandiant παρατήρησε ότι η ομάδα APT41 χρησιμοποιούσε το PINEGROVE ως εργαλείο, για την εξαγωγή δεδομένων κατά τη διάρκεια της εισβολής. Το PINEGROVE είναι ένα πρόγραμμα μεταφόρτωσης γραμμής εντολών που βασίζεται στο Go και μπορεί να χρησιμοποιηθεί για τη συλλογή και υποβολή αρχείων στο OneDrive μέσω του API του OneDrive.

Πιστεύεται ότι η επίμονη επιδίωξη του προσωπικού πλούτου της ομάδας με την επίθεση στον τομέα των βιντεοπαιχνιδιών επηρέασε τη δημιουργία στρατηγικών που χρησιμοποιήθηκαν αργότερα στις κατασκοπευτικές τους δραστηριότητες.

Δείτε επίσης: LightSpy iPhone spyware: Συνδέεται με τους hackers APT41;

Οι ομάδες hacker, είναι οργανωμένες ομάδες ατόμων που εμπλέκονται σε διάφορες μορφές hacking για διάφορους σκοπούς, συμπεριλαμβανομένου του πολιτικού ακτιβισμού, του οικονομικού κέρδους ή της φήμης. Αξιοσημείωτες ομάδες hacker περιλαμβάνουν τους Anonymous, που είναι γνωστοί για τον χακτιβισμό και τις διαμαρτυρίες τους ενάντια στις κυβερνητικές και εταιρικές ενέργειες, και τη Lizard Squad, διαβόητοι για τις επιθέσεις κατανεμημένης άρνησης παροχής υπηρεσιών (DDoS) σε δίκτυα τυχερών παιχνιδιών. Κάθε ομάδα λειτουργεί με το δικό της ήθος και το δικό της σύνολο στόχων, με δραστηριότητες που μπορούν να περιλαμβάνουν τα πάντα, από παραβιάσεις δεδομένων και κλοπή ταυτότητας έως την υπεράσπιση της ελευθερίας στο διαδίκτυο και των δικαιωμάτων ιδιωτικότητας. Η κατανόηση των κινήτρων και των τακτικών αυτών των ομάδων είναι ζωτικής σημασίας στο συνεχώς εξελισσόμενο τοπίο της κυβερνοασφάλειας.

Πηγή: cybersecuritynews