A Kínával összefüggésbe hozott APT csoportok egyre szélesebb körben célozzák a különböző iparágak szervezeteit. A Symantec jelentése szerint a Redfly fenyegetési aktor mintegy 6 hónapon keresztül használta a ShadowPad elnevezésű rosszindulatú programot egy meg nem nevezett ázsiai ország villamoshálózata ellen.
“A ShadowPadet a memóriában dekódolják egy egyedi algoritmus segítségével. A ShadowPad képes információkat ellopni, parancsokat végrehajtani, interaktálni a fájlrendszerrel és a registryvel, valamint új modulokat telepíteni” – jegyezte meg a CTU.
Egy ázsiai szervezetet célzó támadás legkorábbi jele 2023. február 23-án volt, majd 3 hónapnyi „alvó fázist” követően, május 17-én használták először a backdoort.
Hogyan zajlott a támadás?
A támadók elsőként egy Packerloader nevű eszközt telepítettek, amelyet tetszőleges shellcode futtatására használnak, ezzel módosítva a dump_diskfs.sys nevű meghajtófájl jogosultságait, hogy az bármilyen felhasználó számára hozzáférést biztosítson. A PowerShell parancsok futtatásával információkat gyűjtöttek a rendszerhez csatlakoztatott tárolóeszközökről, a Windows Registryből a hitelesítő adatok kiürítéséről és törölték a biztonsági eseménynaplókat a gépről.
A gyanú szerint a Redfly ellopott hitelesítő adatokat használt a fertőzés hálózaton belüli terjesztésére. Július 27-én a támadók egy keyloggert is alkalmaztak, majd augusztus 3-án ismét hitelesítő adatokat nyertek ki a rendszerekből.
MI-vel turbózott kínai dezinformációs műveletek
Érdemes megemlíteni, hogy a Microsoft egy jelentésében arról számolt be, hogy a Kínához kötődő APT aktorok az év eleje óta mesterséges intelligencia által generált vizuális tartalmakat is felhasználnak a döntően az Egyesült Államokat célzó befolyásolási műveletek, valamint a Dél-kínai-tenger térségében a regionális kormányzatok és ipari szereplők elleni hírszerzési műveletek során.
“A Raspberry Typhoon következetesen kormányzati minisztériumokat, katonai egységeket és kritikus infrastruktúrához, különösen a távközléshez kapcsolódó vállalati egységeket veszi célba” ─ közölte a Microsoft.
További kiemelt célpontok közé tartozik az amerikai védelmi ipari bázis (Circle Typhoon, Volt Typhoon és Mulberry Typhoon), az amerikai kritikus infrastruktúra, európai és amerikai kormányzati szervek (Storm-0558), valamint Tajvan (Flax Typhoon és Charcoal Typhoon).
