Η Ink Dragon, μια κινεζική ομάδα κατασκοπείας, έχει επεκτείνει σημαντικά τις δραστηριότητές της από τη Νοτιοανατολική Ασία και τη Νότια Αμερική σε ευρωπαϊκά κυβερνητικά δίκτυα.
Αυτή η πρόοδος σηματοδοτεί μια αξιοσημείωτη αλλαγή στη στρατηγική εστίαση του παράγοντα απειλής, χρησιμοποιώντας ένα μείγμα καλά σχεδιασμένων εργαλείων σε συνδυασμό με τεχνικές που μιμούνται την τυπική επιχειρηματική δραστηριότητα.
Η επέκταση του ομίλου ήταν μεθοδική και πειθαρχημένη, επιτρέποντάς του να δημιουργήσει μακροπρόθεσμη πρόσβαση, παραμένοντας απαρατήρητη για παρατεταμένες περιόδους.
Η καμπάνια κακόβουλου λογισμικού δείχνει μια εξελιγμένη κατανόηση της υποδομής δικτύου και των διοικητικών διαδικασιών.
Οι εισβολείς ξεκινούν με τον εντοπισμό τρωτών σημείων σε συστήματα προσβάσιμα από το κοινό, ιδιαίτερα σε διακομιστές ιστού όπως οι υπηρεσίες Internet Information Services (IIS) της Microsoft και οι πλατφόρμες SharePoint.
Αυτά τα αρχικά σημεία εισόδου προέρχονται συχνά από απλές παραλείψεις διαμόρφωσης, οι οποίες παρέχουν επαρκή πρόσβαση για τη φύτευση κακόβουλου κώδικα με ελάχιστο κίνδυνο ανίχνευσης.
Μόλις δημιουργηθεί η αρχική βάση, οι χειριστές κινούνται με υπολογισμένη ακρίβεια.
Αναλυτές Check Point διάσημος ότι το Ink Dragon αξιοποιεί κλεμμένα διαπιστευτήρια και αδρανείς διαχειριστικές περιόδους λειτουργίας για να πλοηγηθεί σε δίκτυα που έχουν παραβιαστεί.
Οι εισβολείς συλλέγουν τοπικά διαπιστευτήρια από το αρχικό τους σημείο εισόδου, εντοπίζουν ενεργές περιόδους σύνδεσης διαχειριστή και επαναχρησιμοποιούν λογαριασμούς κοινόχρηστων υπηρεσιών για να μετακινούνται πλευρικά στα συστήματα διατηρώντας παράλληλα μια νόμιμη εμφάνιση.
Αυτή η προσέγγιση διασφαλίζει ότι η κίνησή τους συνδυάζεται άψογα με την κανονική διοικητική κίνηση.
Μετασχηματισμός παραβιασμένων διακομιστών
Μια ιδιαίτερα προηγμένη πτυχή της λειτουργίας του Ink Dragon περιλαμβάνει τον μετασχηματισμό διακομιστών που έχουν παραβιαστεί σε κόμβους αναμετάδοσης.
Αυτά τα συστήματα προωθούν εντολές και δεδομένα μεταξύ διαφορετικών θυμάτων, δημιουργώντας ένα πλέγμα επικοινωνίας που κρύβει την πραγματική προέλευση της επίθεσης.
Αυτή η τεχνική ενισχύει το ευρύτερο δίκτυο εντολών της ομάδας, ενώ κάνει την ανίχνευση αμυντικού σημαντικά πιο δύσκολη, καθώς η κίνηση φαίνεται να είναι μια καθημερινή διαοργανωτική δραστηριότητα.
.webp.png "Το Ink Dragon με βάση την Κίνα συμβιβάζει την Ασία και τη Νότια Αμερική σε Ευρωπαϊκά Κυβερνητικά Δίκτυα")
Η εξελισσόμενη εργαλειοθήκη του ομίλου, ιδιαίτερα η ενημερωμένη παραλλαγή backdoor του FinalDraft, αντιπροσωπεύει μια σημαντική τεχνική πρόοδο.
Αυτό το εργαλείο ενσωματώνεται τώρα με τις υπηρεσίες cloud της Microsoft, αποκρύπτοντας την κυκλοφορία εντολών μέσα σε συνηθισμένα πρόχειρα γραμματοκιβωτίου για να εμφανίζεται ως καθημερινή χρήση νόμιμων υπηρεσιών.
Η πιο πρόσφατη έκδοση περιλαμβάνει ελεγχόμενους μηχανισμούς χρονισμού που ευθυγραμμίζονται με κανονικά επιχειρηματικά μοτίβα, αποτελεσματικές δυνατότητες μεταφοράς δεδομένων για αθόρυβη μετακίνηση μεγάλων αρχείων και λεπτομερές προφίλ συστήματος για να παρέχουν στους χειριστές ολοκληρωμένη ορατότητα σε κάθε μηχάνημα που έχει παραβιαστεί.
Συγκεκριμένα, οι ερευνητές του Check Point ανακάλυψαν ότι ένας άλλος παράγοντας απειλής, ο RudePanda, είχε παραβιάσει ταυτόχρονα πολλά πανομοιότυπα κυβερνητικά δίκτυα.
Αυτή η επικάλυψη αποκαλύπτει πώς μια ενιαία μη επιδιορθωμένη ευπάθεια μπορεί να γίνει σημείο εισόδου για πολλούς προηγμένους παράγοντες απειλών, ο καθένας από τους οποίους λειτουργεί ανεξάρτητα μέσα στο ίδιο περιβάλλον.
Η κατανόηση αυτής της κοινής επιφάνειας επίθεσης έχει καταστεί κρίσιμη για τους επαγγελματίες της κυβερνοασφάλειας που είναι επιφορτισμένοι με την πρόληψη παρόμοιων περιστατικών.
Related Posts
Το FBI προειδοποιεί για χάκερ που αλλάζουν φωτογραφίες που βρέθηκαν στα μέσα κοινωνικής δικτύωσης για να χρησιμοποιηθούν ως ψεύτικη απόδειξη
Ρεκόρ επίθεσης DDoS 15 Tbps από 500.000+ συσκευές Επισκέψεις στο Azure Network
Νέο εργαλείο Clickfix Attack Exploits finger.exe για να εξαπατήσει τους χρήστες στην εκτέλεση κακόβουλου κώδικα
