Las organizaciones de telecomunicaciones en el sudeste oriental han sido atacadas por un actor de amenaza patrocinado por el estado conocido como CL-969 Para entregar el control remoto sobre las redes comprometidas.
Palo Detención Networks Unit 42 dijo que observó múltiples incidentes en la región, incluido uno dirigido a la infraestructura crítica de telecomunicaciones entre febrero y noviembre de 2024.
Los ataques se caracterizan por el uso de varias herramientas para habilitar el golpe remoto, así como la implementación de CordScan, que puede resumir datos de ubicación de dispositivos móviles.
Sin requisa, la compañía de ciberseguridad dijo que no encontró evidencia de exfiltración de datos de las redes y sistemas que investigó. Los atacantes siquiera hicieron esfuerzos para rastrear o comunicarse con dispositivos objetivo interiormente de las redes móviles.
«El actor de amenaza detrás de CL-STA-0969 mantuvo una ingreso seguridad operativa (OPSEC) y empleó varias técnicas de despreocupación de defensa para evitar la detección», dijeron los investigadores de seguridad Renzon Cruz, Nicolas Bareil y Navin Thomas.
CL-STA-0969, por mecanismo 42, comparte superposiciones significativas con un reunión rastreado por crowdstrike bajo el nombre de Panda Liminal, un reunión de espionaje de China-Nexus que se ha atribuido a ataques dirigidos contra entidades de telecomunicaciones en Asia del Sur y África desde al menos 2020 con el objetivo de la reunión de inteligencia.
Vale la pena señalar que algunos aspectos de la artesanía de Liminal Panda se atribuyeron previamente a otro actor de amenaza llamado LightBasin (asimismo conocido como UNC1945), que asimismo ha señalado el sector de las telecomunicaciones desde 2016. Lightbasin, por su parte, se superpone a un tercer reunión denominado UNC2891, una Cantelera con motivación financiera conocida por sus ataques en Attater Machine (Atter (Machine (Machine (Machine (Machine de cajera) (Influte).
«Si admisiblemente este reunión se superpone significativamente con el panda liminal, asimismo hemos observado superposiciones en las herramientas de atacantes con otros grupos informados y grupos de actividades, incluidos Light Basin, UNC3886, UNC2891 y UNC1945», señalaron los investigadores.
En al menos un caso, se cree que CL-STA-0969 empleó ataques de fuerza bruta contra los mecanismos de autenticación de SSH para el compromiso original, aprovechando el golpe a eliminar varios implantes como-
- Authdoorun módulo de autenticación de confuso desconfiado (PAM) que funciona de guisa similar a Slapstick (originalmente atribuido a UNC1945) para admitir al robo de credenciales y proporcionar un golpe persistente al host comprometido a través de una contraseña mágica codificada
- Cableuna utilidad de escaneo de red y captura de paquetes (previamente atribuido al panda liminal)
- Gtpdoorun malware diseñado explícitamente para ser implementado en redes de telecomunicaciones que están adyacentes a los intercambios de roaming GPRS
- EcoBackdooruna puerta trasera pasiva que audición los paquetes de solicitudes de echo de echo ICMP que contienen instrucciones de comando y control (C2) para extraer el comando y cursar los resultados de la ejecución de regreso al servidor a través de un paquete de respuesta de echo de echo de ICMP no secreto
- Sirviendo el émulo de nodo de soporte GPRS (SGSN) (SGSNemu)un software de porfía para el tráfico del túnel a través de la red de telecomunicaciones y las restricciones de firewall de evitar (previamente atribuido al panda liminal)
- Cronsratun binario ELF modular que es capaz de ejecución de shellcode, operaciones de archivo, keylogging, reenvío de puertos, shell remoto, captura de captura de pantalla y capacidades proxy
- Nodopdns (referido internamente como MyDNS), una puerta trasera de Golang que crea un enchufe en bruto y audición pasivamente el tráfico UDP en el puerto 53 para analizar los comandos entrantes a través de mensajes DNS
«CL-STA-0969 aprovechó los diferentes scripts de shell que establecieron un túnel SSH inverso unido con otras funcionalidades», señalaron la Pelotón 42 investigadores. «CL-STA-0969 residuo sistemáticamente los registros y elimina los ejecutables cuando ya no son necesarios, para persistir un stop graduación de OPSEC».
Adicionalmente, a la cartera ya amplia de herramientas maliciosas que el actor de amenaza ha implementado son microsocks proxy, proxy inverso rápido (FRP), FSCAN, respondedor y proxychains, así como programas para explotar fallas en sistemas basados en Linux y Unix (CVE-2016-5195, CVE-2021-4034 y CVE-2021-3151-3156) a 3156) a 3156). subida.
Adicionalmente de usar una combinación de herramientas a medida y disponibles públicamente, se ha opuesto que los actores de amenaza adoptan una serie de estrategias para huir bajo el radar. Esto alpargata el túnel DNS del tráfico, enrutando el tráfico a través de operadores móviles comprometidos, borrando registros de autenticación, deshabilitar Linux mejorado con seguridad (Selinux) y disfrazando los nombres de procesos con nombres convincentes que coinciden con el entorno de destino.
«CL-STA-0969 demuestra una comprensión profunda de los protocolos de telecomunicaciones e infraestructura», dijo la Pelotón 42. «Su malware, herramientas y técnicas revelan un esfuerzo calculado para persistir un golpe persistente y sigiloso. Lo logró al proxyizar el tráfico a través de otros nodos de telecomunicaciones, túneles de datos utilizando protocolos menos escrutinizados y empleando diversas técnicas de despreocupación de defensa».
China acusa a las agencias estadounidenses de atacar instituciones militares e de investigación
La divulgación se produce cuando el Equipo Técnico de Respuesta a Emergencias de la Red Franquista de Computación/Centro de Coordinación de China (CNCERT) acusó a las agencias de inteligencia estadounidenses de armarse una exploit de día cero de Microsoft Exchange para robar información relacionada con la defensa y secuestrar a más de 50 dispositivos que pertenecen a una «empresa marcial china principal» entre julio de 2022 y julio de 2023.
La agencia asimismo dijo que las universidades relacionadas con los militares de ingreso tecnología, los institutos de investigación científica y las empresas en el país fueron atacadas como parte de estos ataques para desviar los valiosos datos de los anfitriones comprometidos. Entre los objetivo se encontraba una empresa marcial china en los sectores de comunicaciones y mandado de Internet que fue atacado de julio a noviembre de 2024 al explotar vulnerabilidades en los sistemas electrónicos de archivos, alegó CNCERT.
El esfuerzo de atribución refleja las tácticas de Poniente, que ha culpado repetidamente a China por los principales ataques cibernéticos, contando la última explotación de día cero del servidor de Microsoft SharePoint.
Cuando se le preguntó el mes pasado sobre la piratería china en los sistemas de telecomunicaciones de EE. UU. Y el robo de propiedad intelectual en Fox News, el presidente de los Estados Unidos, Donald Trump, dijo: «¿No crees que les hagamos eso? Lo hacemos. Hacemos muchas cosas. Así es como funciona el mundo. Es un mundo desagradable».
