Ιαπωνικές εταιρείες αποτελούν στόχο Κινέζων hackers, οι οποίοι χρησιμοποιούν τα κακόβουλα λογισμικά (malware) LODEINFO και NOOPDOOR.

Οι επιθέσεις αυτές αποσκοπούν στη συλλογή ευαίσθητων πληροφοριών από παραβιασμένους κεντρικούς υπολογιστές.

Η ισραηλινή εταιρεία κυβερνοασφάλειας Cybereason παρακολουθεί την κακόβουλη εκστρατεία που ονομάζεται Cuckoo Spear, την οποία συνδέει με άλλες γνωστές εκστρατείες όπως η APT10, η οποία ονομάζεται επίσης και Bronze Riverside, ChessMaster, Cicada, Cloudhopper, MenuPass, MirrorFace, Purple Typhoon και Stone Panda.

Δείτε ακόμη: Το κινεζικό ρόβερ Chang’e 5 ανιχνεύει μόρια νερού στο φεγγάρι

«Οι hackers πίσω από το NOOPDOOR δεν χρησιμοποίησαν μόνο το LODEINFO κατά τη διάρκεια αυτής της εκστρατείας, αλλά εκμεταλλεύτηκαν επίσης το νέο backdoor για να αντλήσουν δεδομένα από παραβιασμένα εταιρικά δίκτυα», αναφέρεται.

Οι πληροφορίες αυτές ήρθαν στο φως εβδομάδες μετά την προειδοποίηση της JPCERT/CC για κυβερνοεπιθέσεις από hackers, οι οποίοι στοχεύουν ιαπωνικές οντότητες μέσω δύο στελεχών κακόβουλου λογισμικού.

Τον Ιανουάριο, η ITOCHU Cyber & Intelligence αποκάλυψε μια ενημερωμένη έκδοση του backdoor LODEINFO που ενσωματώνει anti-analysis τεχνικές, επισημαίνοντας τη χρήση spear-phishing emails για τη διάδοση του κακόβουλου λογισμικού.

Η Trend Micro, η οποία πρώτα εισήγαγε τον όρο MenuPass για να περιγράψει αυτήν την εκστρατεία hacking, έχει χαρακτηρίσει την APT10 ως μια προστατευτική ομάδα, που περιλαμβάνει δύο υποομάδες: την Earth Tengshe και την Earth Kasha. Η συγκεκριμένη hacking συμμορία είναι γνωστή για τη δραστηριότητά της τουλάχιστον από το 2006.

Η Earth Tengshe συνδέεται με κακόβουλες συμμορίες που διανέμουν τα SigLoader και SodaMaster, ενώ η Earth Kasha εστιάζει αποκλειστικά στη χρήση των LODEINFO και NOOPDO. Και οι δύο υποομάδες έχουν παρατηρηθεί να στοχεύουν σε εφαρμογές που απευθύνονται στο κοινό, με σκοπό την εξαγωγή δεδομένων και πληροφοριών από το δίκτυο.

Διαβάστε περισσότερα: Οι Κινέζοι hackers APT41 στοχεύουν Ιταλία, Ισπανία, Τουρκία και ΗΒ

Επιπλέον, η Earth Tengshe φαίνεται να συνδέεται με μια άλλη εκστρατεία που ονομάζεται Bronze Starlight (γνωστή και ως Emperor Dragonfly ή Storm-0401). Αυτή η εκστρατεία έχει ιστορικό στη λειτουργία οικογενειών ransomware, όπως οι LockFile, Atom Silo, Rook, Night Sky, Pandora και Cheerscrypt.

Από την άλλη πλευρά, έχει διαπιστωθεί ότι το Earth Kasha έχει τροποποιήσει τις αρχικές μεθόδους πρόσβασης, εκμεταλλευόμενο εφαρμογές που απευθύνονται στο κοινό από τον Απρίλιο του 2023. Αυτό επιτυγχάνεται μέσω μη επιδιορθωμένων ευπαθειών σε πλατφόρμες όπως το Array AG (CVE-2023-28461), το Fortinet (CVE-2023-27997) και οι παρουσίες Proself (CVE-2023-45727), με σκοπό τη διανομή του κακόβουλου λογισμικού (malware) LODEINFO και NOOPDOOR, γνωστού και ως HiddenFace.

Το LODEINFO συνοδεύεται από πολλές εντολές που επιτρέπουν την εκτέλεση αυθαίρετου shellcode, την καταγραφή πληκτρολόγησης, τη λήψη screenshot, τον τερματισμό διεργασιών και την αποστολή αρχείων σε έναν server υπό τον έλεγχο των hackers. Παρομοίως, το NOOPDOOR, το οποίο παρουσιάζει ομοιότητες κώδικα με το APT10 backdoor γνωστό ως ANEL Loader, προσφέρει λειτουργίες για τη μεταφόρτωση και λήψη αρχείων, την εκτέλεση shellcode και τη δυνατότητα εκτέλεσης επιπλέον προγραμμάτων.

Δείτε επίσης: Κινέζοι hacker στοχεύουν πλοία με malware σε USB Sticks

Η Cybereason αναφέρει: “Το LODEINFO φαίνεται να λειτουργεί ως το κύριο backdoor, ενώ το NOOPDOOR λειτουργεί ως δευτερεύον, εξασφαλίζοντας την παραμονή του στο παραβιασμένο εταιρικό δίκτυο για πάνω από δύο χρόνια.”

Πηγή: thehackernews