حملات جنگ سایبری / ملت-
با
مدیریت کلاهبرداری و جرایم سایبری
تهدید بازیگر از هدف قرار دادن مبادله به پایگاه داده ها تغییر می کند
محققان می گویند ، یک بازیگر تهدید سایبری چینی با سابقه هک کردن مبادله مایکروسافت برای جاسوسی از رویدادهای ژئوپلیتیکی از جمله قله های آفریقا ، خاورمیانه و آسیا ، توجه خود را به هدف قرار دادن بانکهای اطلاعاتی جلب کرده است.
همچنین ببینید: ondemand | ارتش IT راز کره شمالی و نحوه مبارزه با آن
واحد 42 Palo Alto Division Intel Division گفته شده سه شنبه بازیگر تهدید از برخی از زیرساخت های مشابه گروه های کشور ملت چین که معمولاً به عنوان پیگیری می شوند استفاده می کند APT27 وت وتنهبشر هکرهای کشور ملت چینی معمولاً ابزارها و تکنیک ها را به اشتراک می گذارند (نگاه کنید به: تکامل هکرهای چینی از وندال ها گرفته تا استراتژیست ها).
اما ، برخی از مؤلفه های مورد استفاده بازیگر تهدید ، منحصر به فعالیت آن هستند ، “نشانگر محاسبات عملیاتی در این اکوسیستم مشترک است.” این بازیگر تهدید را با یک مأمور خود به خود اختصاص داد: “Phantom Taurus”.
از جمله اهداف آن ، سرورهای مبادله ای از وزارتخانه های خارجی بودند که در سال 2022 ، بلومبرگ ، در اجلاس چین و عرب در ریاض ، عربستان سعودی شرکت کردند. گزارش شدهبشر هکرها حساب های ایمیل را برای شرایط مربوط به اجلاس و نام های خاص مانند رئیس جمهور چین شی جینپینگ و همسرش پنگ لیوان جستجو کردند.
این گروه از ابزارهای متداول هک کردن ملت چین مانند پوسته وب China Chopper، مجموعه سیب زمینی و Impacket – اما از ابزارهای سفارشی نیز استفاده می کند ، از جمله محققان بدافزار که قبلاً بدون مدارک “Web -Star” می نامند. این یک مجموعه بدافزار .NET برای هدف قرار دادن سرورهای وب خدمات اطلاعات اینترنتی مایکروسافت است.
خالص ستاره از یک پشتی بی نظیر تشکیل شده است که کاملاً در حافظه رایانه و دو نوع لودرهای بدافزار .NET مستقر می شود. Backdoor ، به عنوان Iiservercore ، اپراتورهای درون w3wp.exe فرآیند کارگران سرورهای خدمات اطلاعات اینترنتی.
تأکید بر تغییر گروه از هدف قرار دادن سرورهای ایمیل به سرقت مستقیم از بانکهای اطلاعات mssq.bat، که می تواند با استفاده از هکرهای رمز عبور که قبلاً به سرقت رفته بود به یک پایگاه داده SQL Server متصل شود. اسکریپت جستجوگرهای پرس و جو را اجرا می کند و نتایج را به یک فایل CSV برای تبعید صادر می کند.
واحد 42 اولین فعالیت را تشخیص داد که اکنون در ژوئن سال 2023 به فانتوم Taurus نسبت می دهد ، هنگامی که قابل تشخیص فعالیت مشکوک ناشی از سرور Change w3wp.exe فرآیند ، “که به نظر می رسد پس از تحقیقات ناشی از کاشت VBScript در حافظه است که توسط بازیگر تهدید مستقر شده است.
شركت اینتل تهدید آمیز در ماه مه 2024 ، هنگامی كه می توانست با چین ارتباط برقرار كند خال خال این بازیگر تهدید با استفاده از پشتوانه هایی که به احتمال زیاد کد منبع را از Ghost Rat وام گرفته است ، یک تروجان که توسط تیم امنیتی C. Rufus بازیگر تهدید چینی ساخته شده است. Ghost Rat تا سال 2008 به نظر می رسد و در یک نقش اساسی دارد کمپین هک کردن معروف به Ghostnet که مراکز تبعیدی تبت دالی لاما را هدف قرار داده است.
با گزارش توسط دیوید پررا گروه رسانه امنیت اطلاعات در ویرجینیا شمالی.
