Tropic Trooper kyberšpionážni hackeri sa zameriavajú na sektor dopravy

Hackeri kybernetickej špionáže

Dopravný priemysel a vládne agentúry súvisiace s týmto sektorom sú obeťami prebiehajúcej kampane od júla 2020 sofistikovanej a dobre vybavenej kyberšpionážnej skupiny v tom, čo sa zdá byť ďalším nárastom škodlivých aktivít, ktoré sú „len špičkou ľadovca. “

“Skupina sa pokúsila získať prístup k niektorým interným dokumentom (ako sú letové poriadky a dokumenty k finančným plánom) a osobným informáciám o napadnutých hostiteľoch (ako je história vyhľadávania),” uviedli výskumníci Trend Micro Nick Dai, Ted Lee a Vickie Su. správa zverejnená minulý týždeň.

Earth Centaur, známy aj pod prezývkami Pirate Panda a Tropic Trooper, je dlhotrvajúca skupina hrozieb zameraná na krádeže informácií a špionáž, ktorá viedla cielené kampane proti vláde, zdravotníctvu, doprave a high-tech priemyslu na Taiwane, Filipínach, a Hong Kong siahajú až do roku 2011.

Nepriateľskí agenti, o ktorých sa predpokladá, že ide o čínsky hovoriaci herec, sú známi tým, že využívajú spear-phishingové e-maily s prílohami so zbraňami, aby zneužili známe zraniteľnosti, pričom súčasne rozšíria svoje zákerné nástroje so zahmlievaním, utajením a údernou silou.

“Táto skupina hrozieb je zdatná v červenej tímovej práci,” uviedli vedci. “Skupina vie, ako obísť nastavenia zabezpečenia a udržať svoju prevádzku bez prekážok. Používanie rámcov s otvoreným zdrojom tiež umožňuje skupine efektívne vyvíjať nové varianty backdoor.”

V máji 2020 boli operátori pozorovaní, ako dolaďujú svoje útočné stratégie s novým správaním nasadením USB trójskeho koňa s názvom USBFerry, aby zaútočili na fyzicky izolované siete patriace vládnym inštitúciám a vojenským entitám na Taiwane a Filipínach v snahe odčerpať citlivé údaje cez odnímateľné. flash disky.

Najnovšia viacstupňová sekvencia prienikov podrobne opísaná Trend Micro zahŕňa skupinu, ktorá využíva zraniteľné servery Internet Information Services (IIS) a chyby servera Exchange ako vstupné body na inštaláciu webového prostredia, ktoré sa potom využije na dodanie zavádzača Nerapack založeného na .NET a zadné vrátka prvej fázy známe ako Quasar na napadnutom systéme.

Odtiaľ to útočníci sledujú vypustením arzenálu implantátov druhej fázy, ako sú ChiserClient, SmileSvr, ChiserClient, HTShell a prispôsobené verzie Lilith RAT a Gh0st RAT v závislosti od obete, aby získali ďalšie pokyny zo vzdialeného servera, stiahli ďalšie užitočné zaťaženie, vykonávať operácie so súbormi, vykonávať ľubovoľné príkazy a extrahovať výsledky späť na server.

Tam to nekončí. Po úspešnom využití systému sa Tropic Trooper tiež pokúša narušiť intranet, vypísať poverenia a vymazať protokoly udalostí z infikovaných počítačov pomocou špecifickej sady nástrojov. Používa sa aj program príkazového riadka s názvom Rclone, ktorý umožňuje hercovi kopírovať zozbierané údaje rôznym poskytovateľom cloudového úložiska.

“Momentálne sme neobjavili podstatné škody na týchto obetiach, ktoré by spôsobila skupina hrozieb,” vysvetlili analytici Trend Micro. “Veríme však, že bude pokračovať v zhromažďovaní interných informácií od napadnutých obetí a že jednoducho čaká na príležitosť tieto údaje použiť.”

Zistenia sú pozoruhodné kvôli krokom, ktoré pokročilá perzistentná hrozba (APT) podniká, aby sa vyhla detekcii a kritickej povahe cieľových entít, nehovoriac o nových schopnostiach vyvinutých pre ich škodlivý softvér, aby zotrvával na infikovaných hostiteľoch a zabránil odhaleniu.

“Skupina môže zmapovať sieťovú infraštruktúru svojho cieľa a obísť firewally,” uviedli vedci. “Používa zadné vrátka s rôznymi protokolmi, ktoré sú nasadené v závislosti od obete. Má tiež schopnosť vyvinúť prispôsobené nástroje na obídenie bezpečnostného monitorovania v rôznych prostrediach a zneužíva zraniteľné webové stránky a používa ich ako [command-and-control] servery.”