Μια APT hacking ομάδα που υποστηρίζεται από την κινεζική κυβέρνηση και είναι γνωστή ως “Antlion“, χρησιμοποιεί ένα νέο custom backdoor που ονομάζεται “xPack“. Οι hackers χρησιμοποιούν το backdoor ενάντια σε χρηματοοικονομικούς οργανισμούς και κατασκευαστικές εταιρείες. Μάλιστα λέγεται ότι το custom malware επιτρέπει στους επιτιθέμενους να μείνουν στα δίκτυα των θυμάτων έως και 250 ημέρες χωρίς να εντοπιστούν.
Το κακόβουλο λογισμικό έχει χρησιμοποιηθεί σε μια εκστρατεία που στοχεύει εταιρείες στην Ταϊβάν. Οι ερευνητές πιστεύουν ότι η εκστρατεία διήρκεσε για περισσότερους από 18 μήνες, μεταξύ 2020 και 2021, επιτρέποντας στους επιτιθέμενους να εκτελούν μυστικές επιχειρήσεις κυβερνοκατασκοπείας.
Σύμφωνα με μια αναφορά από τη Symantec, το xPack επέτρεψε στους εισβολείς να εκτελούν εντολές WMI απομακρυσμένα, να αξιοποιούν EternalBlue exploits και να μεταφέρουν δεδομένα στον command and control (C2) server.
Δείτε επίσης: Cybersecurity: Πολλοί managers απλά δεν θέλουν να κατανοήσουν τους κινδύνους
Στο δίκτυο των θυμάτων για 250 ημέρες
Λεπτομέρειες από μια επίθεση δείχνουν ότι οι hackers πέρασαν 175 ημέρες στο παραβιασμένο δίκτυο. Ωστόσο, οι ερευνητές της Symantec είδαν και δύο άλλες επιθέσεις και ανακάλυψαν ότι οι απατεώνες κατάφεραν να παραμείνουν απαρατήρητοι στο δίκτυο για έως και 250 ημέρες.
Οι ερευνητές πιστεύουν ότι αυτό οφείλεται πιθανότατα στη χρήση custom malware, το οποίο είναι άγνωστο στους αναλυτές.
Το xPack είναι ένα .NET loader που ανακτά και εκτελεί payloads κρυπτογραφημένα με AES, ενώ μπορεί, επίσης, να εκτελεί εντολές συστήματος και να συλλέγει δεδομένα για να τα κλέψει.
Οι ερευνητές της Symantec εντόπισαν, επίσης, τα παρακάτω custom εργαλεία που συνόδευαν το xPack σε αυτήν την καμπάνια:
- EHAGBPSL: Custom C++ loader
- JpgRun: Custom C++ loader
- CheckID: Custom C++ loader που βασίζεται σε εργαλείο που χρησιμοποιείται από τη BlackHole RAT
- NetSessionEnum: Custom SMB session enumeration tool
- ENCODE MMC: Custom bind/reverse file transfer tool
- Kerberos golden ticket tool που βασίζεται στο Mimikatz credentials stealer
Η Antlion χρησιμοποίησε και διάφορα εργαλεία off-the-shelf και live-off-the-land (LoL) σε συνδυασμό με τα παραπάνω για να ενισχύσει τις πιθανότητες επιτυχίας της επίθεσης χωρίς να τραβήξει την προσοχή.
Δείτε επίσης: Microsoft: Το Mac malware UpdateAgent γίνεται όλο και πιο επικίνδυνο
Εργαλεία όπως τα PowerShell, WMIC, ProcDump, LSASS και PsExec ήταν κοινά σε αυτήν την καμπάνια.
Τέλος, οι ερευνητές παρατήρησαν ότι οι επιτιθέμενοι χρησιμοποιούν το CVE-2019-1458 για αύξηση προνομίων και απομακρυσμένο προγραμματισμό που βοήθησε στην εκτέλεση του backdoor.
Δείτε επίσης: Wormhole cryptocurrency: Κλάπηκαν 326 εκατομμύρια δολάρια μετά από παραβίαση
Αυτή η ευπάθεια συμπεριλήφθηκε πρόσφατα στη λίστα σφαλμάτων της CISA.
Antlion APT
Η Antlion πιστεύεται ότι εμπλέκεται σε δραστηριότητες κυβερνοκατασκοπείας τουλάχιστον από το 2011, επομένως πρόκειται για μια ομάδα που αποτελεί απειλή για τους οργανισμούς για πάνω από μια δεκαετία.
Όπως αναφέρεται λεπτομερώς στην έκθεση της Symantec, η συγκεκριμένη καμπάνια με το custom malware που επέτρεπε την παραμονή στο δίκτυο για έως και 250 ημέρες, επικεντρώθηκε στη συλλογή credentials από τα παραβιασμένα συστήματα, ώστε να χρησιμοποιηθούν για lateral movement.
Είναι, επίσης, πιθανό ότι η Antlion μοιράστηκε αυτά τα credentials με άλλες κινεζικές hacking ομάδες, καθώς είναι σύνηθες να συνεργάζονται hackers που εργάζονται για την ίδια κυβέρνηση.
Πηγή: Bleeping Computer
