Las organizaciones gubernamentales y de telecomunicaciones en África, Medio Oriente y Asia se han convertido en el objetivo de un actor de estado-estado nación de China previamente indocumentado denominado Tauro espíritu En los últimos dos primaveras y medio.
«Las principales áreas de enfoque de Phantom Taurus incluyen ministerios de asuntos exteriores, embajadas, eventos geopolíticos y operaciones militares», dijo el investigador de Palo Stop Networks Lior Rochberger. «El objetivo principal del asociación es el espionaje. Sus ataques demuestran sigilo, persistencia y la capacidad de adaptar rápidamente sus tácticas, técnicas y procedimientos (TTP)».
Vale la pena señalar que el asociación de piratería fue detallado por primera vez por la compañía de seguridad cibernética en junio de 2023 bajo el apodo CL-STA-0043. Luego, en mayo pasado, el asociación de amenazas se graduó en un asociación temporal, TGR-STA-0043, luego de revelaciones sobre sus esfuerzos sostenidos de espionaje cibernético dirigidos a entidades gubernamentales desde al menos finales de 2022 como parte de una campaña con codificación de la Operación Diplomática Spectre.
La pelotón 42 dijo que su continua observación del asociación arrojó suficiente evidencia para clasificarlo como un nuevo actor de amenaza cuyo objetivo principal es permitir la sumario de inteligencia a generoso plazo y obtener datos confidenciales de objetivos que son de interés decisivo para China, tanto económica como geopolíticamente.
«El asociación se interesa por las comunicaciones diplomáticas, la inteligencia relacionada con la defensa y las operaciones de los ministerios gubernamentales críticos», dijo la compañía. «El momento y el ámbito de las operaciones del asociación con frecuencia coinciden con los principales eventos globales y los asuntos de seguridad regionales».
Este aspecto es particularmente revelador, sobre todo porque otros grupos de piratería chinos igualmente han prohijado un enfoque similar. Por ejemplo, se evalúa un nuevo adversario rastreado por Future xilografía como Rednovember que tiene entidades dirigidas en Taiwán y Panamá muy cerca de «eventos geopolíticos y militares de interés decisivo esencia para China».
El modus operandi de Phantom Taurus igualmente se destaca adecuado al uso de herramientas y técnicas desarrolladas a medida que rara vez se observan en el panorama de amenazas. Esto incluye una suite de malware a medida nunca antaño traza doblada Net-Star. Desarrollado en .NET, el software está diseñado para apuntar a los servidores web de Servicios de Información de Internet (IIS).
Dicho esto, el equipo de piratería se ha basado en una infraestructura operativa compartida que ha empleado previamente grupos como AT27 (igualmente conocido como Iron Taurus), APT41 (igualmente conocido como Starchy Taurus o Winnti) y Mustang Panda (igualmente conocido como Tauro Matrayly Tauro). Por el contrario, los componentes de infraestructura utilizados por el actor de amenaza no se han detectado en las operaciones llevados a término por otros, lo que indica algún tipo de «compartimentación operativa» internamente del ecosistema compartido.
El vector de paso auténtico exacto no está claro, pero las intrusiones anteriores han armado los Servicios de información de Internet en las instalaciones vulnerables (IIS) y los servidores de intercambio de Microsoft, que abusan de fallas como ProxyLogon y Proxyshell, para infiltrarse en redes objetivo.
Otra superficie significativa de los ataques es el cambio de resumir correos electrónicos a la orientación directa de bases de datos utilizando un script por lotes que permite conectarse a una almohadilla de datos de SQL Server, exportar los resultados en forma de un archivo CSV y terminar la conexión. El script se ejecuta utilizando la infraestructura de Instrumentación de Compañía de Windows (WMI).
La Mecanismo 42 dijo que el actor de amenaza utilizó este método para inquirir metódicamente documentos de interés e información relacionados con países específicos como Afganistán y Pakistán.
Los ataques recientes montados por Phantom Taurus igualmente han utilizado la destino de la red, que consta de tres puertas traseras basadas en la web, cada una de las cuales realiza una función específica mientras mantiene el paso al entorno IIS comprometido,
- Puntuación del servidor IISuna puerta trasera modular sin archivo cargada por medio de un shell web ASPX que admite la ejecución en memoria de argumentos de camino de comandos, comandos arbitrarios y cargas avíos, y transmite los resultados en un canal de comunicación de comando y control (C2) oculto (C2)
- AssemantyExecuter v1que carga y ejecuta cargas avíos de .NET adicionales en la memoria
- AssemantyExecuter v2una interpretación mejorada de EnsambleyExecuter V1 que igualmente viene equipada con la capacidad de evitar la interfaz de escaneo de antimalware (AMSI) y el rastreo de eventos para Windows (ETW)
«El suite de malware Net-Star demuestra las técnicas de distracción vanguardia de Phantom Taurus y una comprensión profunda de la edificio .NET, que representa una amenaza significativa para los servidores orientados a Internet», dijo la Mecanismo 42. «IIServerCore igualmente admite un comando llamado ChangelastModified. Esto sugiere que el malware tiene capacidades activas de tiempo de tiempo, diseñada para confundir analistas de seguridad y herramientas forenses digitales».
