محققان واحد 42 واحد Palo Alto Phantom Taurus ، یک بازیگر ملت مستند ملت که عملیات جاسوسی او با منافع دولتی جمهوری چین (PRC) هماهنگ است ، که طی دو سال و نیم گذشته هدف قرار گرفته اند. دولت و سازمان های ارتباطات در سراسر آفریقا ، خاورمیانه و آسیا. Phantom Taurus در درجه اول وزارتخانه های امور خارجه ، سفارتخانه ها ، رویدادهای ژئوپلیتیکی و عملیات نظامی را هدف قرار می دهد. کمپین های آن روی جاسوسی متمرکز شده و با خفا ، پایداری و توانایی سریع در تطبیق تاکتیک ها ، تکنیک ها و رویه ها (TTP) مشخص می شود.
با تکیه بر انتشار مقاله اول در مورد این خوشه فعالیت (که در ابتدا به عنوان CL-STA-0043 ردیابی شده است) در ژوئن سال 2023 ، این خوشه در ماه مه 2024 به عنوان یک گروه موقت طبقه بندی شد ، تعیین شده TGR-STA-0043 و لقب عملیات دیپلماتیک اسپکتر. تحقیقات مداوم در مورد این گروه ، درک از عملکرد خود را عمیق تر کرده و ارتباط آن با Nexus چین را برقرار کرده است و نشان دهنده دامنه و مدت زمان تحقیق است.
پس از یک سال از مشاهده پایدار و جمع آوری اطلاعات ، شواهد کافی برای طبقه بندی گروه موقت به عنوان یک بازیگر تهدید جدید و متمایز جمع آوری شده است.
محققان واحد 42 گفت: “ما مشاهده کردیم که این گروه به ارتباطات دیپلماتیک ، اطلاعات مربوط به دفاعی و عملکرد وزارتخانه های بحرانی دولتی علاقه مند می شود.” نوشته شده در یک پست وبلاگ این هفته. “زمان و دامنه عملیات این گروه غالباً با رویدادهای مهم جهانی و امور امنیتی منطقه ای همزمان است. تجزیه و تحلیل فنی ما نشان می دهد که این گروه مجموعه ای منحصر به فرد از ابزارهای توسعه یافته و تکنیک هایی را که بندرت در چشم انداز تهدید مشاهده می شود ، به کار می برد.”
وی افزود: modus operandi متمایز این گروه ، همراه با شیوه های عملیاتی پیشرفته خود ، Phantom Taurus را از سایر گروه های مناسب چینی جدا می کند. تعیین این گروه به عنوان یک APT متمایز چینی توسط عوامل انتساب چندگانه پشتیبانی می شود ،
Phantom Taurus از زیرساخت های عملیاتی مناسب چینی استفاده می کند که منحصراً توسط بازیگران تهدید چینی ، از جمله Taurus Iron (AKA) استفاده شده است. APT27) ، نشاسته Taurus (با نام مستعار Winnti) ، و Taurus با شکوه (با نام مستعار موستانگ پاندا). با این حال ، اجزای زیرساختی خاص مورد استفاده توسط فانتوم Taurus در عملیات توسط سایر بازیگران تهدید مشاهده نشده است ، که نشانگر محاسبات عملیاتی در این اکوسیستم مشترک است.
این گروه به طور مداوم سازمان های با ارزش بالا را که به اطلاعات حساس غیر عمومی دسترسی دارند ، هدف قرار می دهد. در طی چند سال گذشته ، ما فانتوم توروس را مشاهده کرده ایم که سازمان های بخش دولت و ارتباطات را هدف قرار می دهد ، به ویژه مواردی که خدمات و زیرساخت ها را ارائه می دهند. این گروه عملیات خود را در خاورمیانه ، آفریقا و آسیا متمرکز می کند و منعکس کننده اولویت های جمع آوری اطلاعات است که با منافع استراتژیک چینی هماهنگ است.
Phantom Taurus مجموعه ای از TTP ها را استخدام می کند که آن را از سایر بازیگران تهدید متمایز می کند. چندین مورد از این تکنیک ها در عملیات توسط گروه های دیگر مشاهده نشده است ، در حالی که برخی دیگر به اندازه کافی نادر هستند که فقط تعداد معدودی از بازیگران با استفاده از روشهای مشابه مشاهده شده اند. علاوه بر ابزارهای متداول مانند China Chopper ، مجموعه سیب زمینی و Impacket ، این گروه از ابزارهای سفارشی از جمله خانواده بدافزار Specter ، NTOSPY و مجموعه بدافزار خالص استفاده می کند.
محققان توضیح دادند که اولین نسخه AssemblyExter یک مونتاژ خالص (DOT) است که برای یک هدف خاص و خاص از اجرای سایر مجامع خالص (DOT) به طور مستقیم در حافظه بدون نوشتن آنها روی دیسک طراحی شده است. این مؤلفه بازیگران تهدید را قادر می سازد تا پس از سازش ، عملکردهای اضافی را بارگیری و اجرای کنند. Backdoor Bytection Meeting را به عنوان پارامترهای ورودی می پذیرد ، آن را با استفاده از روش (DOT) NET ASSEMBLY.LOAD () بارگذاری می کند و نقطه ورود مونتاژ را به همراه آرگومان های خط فرمان مشخص می کند.
“ساختار کد به ظاهر خوش خیم این مؤلفه منجر می شود پرچم گذاری حداقل توسط موتورهای آنتی ویروس در مورد ویروسوتال ، در زمان نوشتن این مقاله ، “مطابق با پست.” این تکنیکی را نشان می دهد که بازیگران تهدید می توانند برای ایجاد ابزاری که از کد آشکار جلوگیری می کنند ، استفاده کنند ، که سیستم های تشخیص ممکن است به عنوان مخرب تعبیر کنند. “
نسخه دوم AssemblyExter همان هدف اصلی را به عنوان سلف خود حفظ می کند و مجامع خالص خودسرانه (DOT) را مستقیماً در حافظه اجرا می کند. این نسخه قابلیت های فرار را برای کار در محیط های تحت نظارت بیشتر افزایش داده است.
در حالی که منطق بارگذاری و اجرای مونتاژ اساسی بدون تغییر باقی می ماند ، AssemblyExtrer V2 شامل روش های اختصاصی برای دور زدن دو مکانیسم امنیتی بحرانی ویندوز ، AMSI و ETW است. این بدافزار به صورت پویا تعیین می کند که کدام تکنیک های بای پس بر اساس پارامترهای ورودی اعمال می شود و به مهاجمان این امکان را می دهد تا بسته به پیکربندی محیط هدف ، کنترل های امنیتی را به صورت انتخابی غیرفعال کنند.
در نتیجه ، محققان Palo Alto توضیح دادند که بلوغ خوشه فعالیت CL-STA-0043 به یک بازیگر تهدید رسماً تعیین شده ، Phantom Taurus. “ما همچنین یک تجزیه و تحلیل فنی دقیق از NET-STAR ، یک مجموعه بدافزار قبلاً کشف نشده ارائه می دهیم که نشان دهنده تکامل قابل توجهی در قابلیت های عملیاتی این بازیگر است. شواهد گسترده ای که ما جمع آوری کردیم ، بینش های اساسی در مورد پایداری دشمن ، سازگاری ، روند تکامل و هدف استراتژیک ارائه می دهد که تحلیل کوتاه مدت همیشه نمی تواند ضبط کند.”
آنها افزودند که تعیین رسمی Phantom Taurus نشان دهنده ارزش ردیابی بازیگر تهدید پایدار است. “تحقیقات چند ساله ما نشان می دهد که چگونه نظارت طولانی مدت درک جامع از تکامل بازیگر تهدید و توانایی های عملیاتی را امکان پذیر می کند.”
فوریه گذشته ، واحد 42 محقق فاش کرد که Taurus insidious (همچنین به عنوان شناخته می شود تیفون) توسط سازمان های دولتی ایالات متحده و همتایان بین المللی آنها به عنوان یک بازیگر سایبر که توسط جمهوری خلق چین (PRC) حمایت مالی می شود ، شناخته می شود. این گروه در درجه اول مشغول نفوذ به زیرساخت های مهم ما در شبکه های فناوری اطلاعات است ، احتمالاً برای ایجاد زمینه برای حملات سایبری مخرب یا مخرب احتمالی در صورت بروز یک بحران یا درگیری قابل توجه با ایالات متحده ، ایجاد می کند.
