Μια νέα ομάδα hacking APT, με την ονομασία Lancefly, χρησιμοποιεί το προσαρμοσμένο κακόβουλο λογισμικό backdoor “Merdoor” για να στοχεύει κυβερνητικούς, αεροπορικούς και τηλεπικοινωνιακούς οργανισμούς στη Νότια και Νοτιοανατολική Ασία.
Τα Symantec Threat Labs αποκάλυψαν σήμερα ότι η ομάδα Lancefly αναπτύσσει το backdoor Merdoor σε εξαιρετικά στοχευμένες επιθέσεις από το 2018 για να δημιουργήσει επιμονή, να εκτελέσει εντολές και να εκτελέσει keylogging σε εταιρικά δίκτυα.
Το Lancefly πιστεύεται ότι επικεντρώνεται στην κυβερνοκατασκοπεία, με στόχο τη συλλογή πληροφοριών από τα δίκτυα των θυμάτων του για μεγάλο χρονικό διάστημα.
Δείτε επίσης: Το Discord αποκάλυψε παραβίαση δεδομένων
Δείτε επίσης: WordPress plugin ελάττωμα εκμεταλλεύεται μετά το PoC exploit
Ευρεία αλυσίδα επίθεσης
Η Symantec δεν έχει ακόμη ανακαλύψει τον αρχικό φορέα μόλυνσης που χρησιμοποιήθηκε από την ομάδα Lancefly. Ωστόσο, έχει βρει στοιχεία που αποδεικνύουν ότι η ομάδα απειλών έχει χρησιμοποιήσει μηνύματα ηλεκτρονικού ταχυδρομείου phishing, brute-forcing διαπιστευτηρίων SSH και εκμετάλλευση ευπαθειών διακομιστών με δημόσιο πρόσωπο για μη εξουσιοδοτημένη πρόσβαση όλα αυτά τα χρόνια.
Μόλις οι επιτιθέμενοι εδραιώσουν την παρουσία τους στο σύστημα-στόχο, εισάγουν το backdoor Merdoor μέσω DLL side-loading είτε στο ‘perfhost.exe’ είτε στο ‘svchost.exe’, οι οποίες είναι νόμιμες διεργασίες των Windows που βοηθούν το κακόβουλο λογισμικό να αποφύγει την ανίχνευση.
Το Merdoor βοηθά την Lancefly να διατηρήσει την πρόσβαση και την εδραίωσή του στο σύστημα του θύματος, εγκαθιστώντας τον εαυτό του ως υπηρεσία που παραμένει σε όλες τις επανεκκινήσεις.
Στη συνέχεια, το Merdoor δημιουργεί επικοινωνίες με τον διακομιστή C2 χρησιμοποιώντας ένα από τα πολλά υποστηριζόμενα πρωτόκολλα επικοινωνίας (HTTP, HTTPS, DNS, UDP και TCP) και περιμένει οδηγίες.
Εκτός από την υποστήριξη της ανταλλαγής δεδομένων με τον διακομιστή C2, το Merdoor μπορεί επίσης να δέχεται εντολές ακούγοντας τοπικές θύρες– ωστόσο, οι αναλυτές της Symantec δεν έχουν δώσει συγκεκριμένα παραδείγματα.
Το backdoor καταγράφει και τα user keystrokes για να καταγράψει δυνητικά πολύτιμες πληροφορίες, όπως ονόματα χρηστών, κωδικούς πρόσβασης ή άλλα μυστικά.
Η ομάδα Lancefly έχει επίσης εντοπιστεί να χρησιμοποιεί τη δυνατότητα «Atexec» του Impacket για την άμεση εκτέλεση μιας προγραμματισμένης εργασίας σε ένα απομακρυσμένο μηχάνημα μέσω SMB. Πιστεύεται ότι οι απειλητικοί φορείς χρησιμοποιούν αυτή τη δυνατότητα για να εξαπλωθούν πλευρικά σε άλλες συσκευές του δικτύου ή να διαγράψουν αρχεία εξόδου που έχουν δημιουργηθεί από άλλες εντολές.
Οι επιτιθέμενοι προσπαθούν να κλέψουν credentials κάνοντας dump της μνήμης της διεργασίας LSASS ή κλέβοντας τα registry hives SAM και SYSTEM.
Τέλος, η ομάδα Lancefly κρυπτογραφεί τα κλεμμένα αρχεία χρησιμοποιώντας μια μεταμφιεσμένη έκδοση του εργαλείου αρχειοθέτησης WinRAR και στη συνέχεια εξαπολύει τα δεδομένα, πιθανότατα χρησιμοποιώντας το Merdoor.
Δείτε επίσης: Philadelphia Inquirer: Οι επιχειρήσεις της διακόπηκαν λόγω κυβερνοεπίθεσης
ZXShell rootkit
Η χρήση μιας νεότερης, ελαφρύτερης και πιο πλούσιας σε χαρακτηριστικά έκδοσης του rootkit ZXShell παρατηρήθηκε και στις επιθέσεις της Lancefly.
Ο loader του rootkit, “FormDII.dll”, εξάγει συναρτήσεις που μπορούν να χρησιμοποιηθούν για την απόρριψη ωφέλιμων φορτίων που ταιριάζουν με την αρχιτεκτονική του συστήματος του host, την ανάγνωση και εκτέλεση shellcode από ένα αρχείο, την εξουδετέρωση διεργασιών και πολλά άλλα.
Το rootkit χρησιμοποιεί επίσης ένα βοηθητικό πρόγραμμα εγκατάστασης και ενημέρωσης που μοιράζεται κοινό κώδικα με τον φορτωτή Merdoor, υποδεικνύοντας ότι η Lancefly χρησιμοποιεί μια κοινή βάση κώδικα για τα εργαλεία της.
Η λειτουργικότητα εγκατάστασης του ZXShell υποστηρίζει τη δημιουργία υπηρεσιών, το hijacking και το launching, την τροποποίηση του μητρώου και τη συμπίεση ενός αντιγράφου του δικού του εκτελέσιμου αρχείου για αποφυγή και ανθεκτικότητα.
Σύνδεσμοι με την Κίνα
Το rootkit ZXShell συνδέει την ομάδα hacking Lancefly με άλλες κινεζικές ομάδες APT που έχουν χρησιμοποιήσει το εργαλείο σε επιθέσεις, συμπεριλαμβανομένων των APT17 και APT41.
Ωστόσο, η σύνδεση είναι αδύναμη, καθώς ο πηγαίος κώδικας του rootkit είναι διαθέσιμος στο κοινό εδώ και αρκετά χρόνια.
Το όνομα “formdll.dll” της Lancefly για το πρόγραμμα φόρτωσης rootkit έχει αναφερθεί παλαιότερα σε μια καμπάνια του APT27, γνωστό και ως “Budworm”.
Ωστόσο, δεν είναι σαφές εάν αυτή είναι μια σκόπιμη επιλογή για να παραπλανηθούν οι αναλυτές και να γίνει πιο δύσκολη η απόδοση.
Ένα στοιχείο που ενισχύει περαιτέρω την υπόθεση ότι το Lancefly είναι κινεζικής προέλευσης είναι η παρατηρούμενη χρήση των PlugX και ShadowPad RATs (remote access trojans), τα οποία χρησιμοποιούνται από κοινού από διάφορες κινεζικές ομάδες APT.
Πηγή πληροφοριών: bleepingcomputer.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/465074/i-omada-hacking-lancefly-xrisimopoeii-to-malware-merdoor/&media=https://www.secnews.gr/wp-content/uploads/2023/03/dark-power-ransomware-min.jpg&description=Μια νέα ομάδα hacking APT, με την ονομασία Lancefly, χρησιμοποιεί το προσαρμοσμένο κακόβουλο λογισμικό backdoor "Merdoor"...){kind=link}