Las organizaciones de telecomunicaciones del sudeste asiático son atacadas por actores de amenaza patrocinados por el estado conocidos como CL-STA-0969, promoviendo el control remoto sobre las redes comprometidas.
Palo Alto Networks Unit 42 dijo que observó múltiples incidentes en la región entre febrero y noviembre de 2024, incluidos los destinados a la infraestructura de comunicaciones críticas.
Los ataques se caracterizan por el uso de varias herramientas que permiten acceso remoto, similar a la implementación de CordScan, que permite datos de ubicación de dispositivos móviles.
Sin embargo, la compañía de ciberseguridad dijo que no había evidencia de eliminación de datos de las redes y sistemas que investigó. Tampoco hubo ningún esfuerzo para que los atacantes rastreen o comuniquen dispositivos objetivo dentro de la red móvil.
«Los actores de amenaza detrás de CL-STA-0969 han adoptado una variedad de técnicas de evasión de defensa para mantener una alta seguridad operativa (OPSEC) y evitar la detección», dijeron los investigadores de seguridad Renzon Cruz, Nicholas Bereil y Navin Thomas.
Cl-STA-0969 por 42 unidades comparte una superposición significativa con grupos rastreados por Cloud Strike. El nombre de Panda Liminal es un espía chino y Nexus que se atribuye a los ataques dirigidos a entidades de telecomunicaciones chinas y africanas.
Es de destacar que algunos aspectos de los productos de Panda Liminal se atribuyeron a otro actor de amenaza, anteriormente conocido como LightBasin (también conocido como UNC1945).
«Este clúster se superpone significativamente con los pandas liminales, pero también se observaron superposiciones de herramientas de atacantes con otros grupos y grupos de actividad informados, como la presión de la luz, UNC3886, UNC2891 y UNC1945,», anotaron los investigadores.
En al menos un caso, se cree que CL-STA-0969 adoptó un ataque de fuerza bruta en el mecanismo de autenticación SSH para el compromiso inicial, aprovechando el acceso para eliminar varios implantes como-.
Authdoor es un módulo de autenticación conectable malicioso (PAM) similar a un Slapstick (originalmente atribuido a UNC1945), que hace cumplir las credenciales y proporciona acceso permanente a hosts comprometidos a través de los escaneos de contraseña mágica codificada, los escaneos de redes y las utilidades de paquetes (anteriormente se debe a Panda liminal), y a través de Malworty, que diseñó GTPDPDOOR (previamente a la red de redes (anteriormente se debe a PANDATA), es un PANDATA ANTINAL, PANDATA ANTINAL, ANTIVE A LIMINAL PANDA). Echobackdoor adyacente al intercambio de roaming GPRS, es una puerta trasera pasiva que escucha los paquetes de solicitud de echo ICMP que contienen comandos y comandos (C2) instrucciones. Escuche el tráfico UDP en el puerto 53 a través de la sede de Raw A Gotdodd Nodems A Golage AA GotDodns a través de Telecommunications Networks, a través de restricciones de firewall (anteriormente debido a los Pandas liminales), ChronosRat, la ejecución de ShellCode, Operaciones de archivos, Keylog, Puerto de referencia, capas remotas, capacitación de capacitación de capas de pantallas y capacidad de proxy de habilidades de habilidades de la capacidad de nogda, y parsia de comandos de parsos, y parse de comando. mensajes
«CL-STA-0969 utilizó varios scripts de shell que establecieron túneles SSH inverso junto con otras características», dijeron investigadores de la Unidad 42. «CL-STA-0969 despeja y elimina sistemáticamente los ejecutables cuando ya no son necesarios para mantener OPSEC avanzado».
Los programas de logros (CVE-2016-5195, CVE-2021-4034 y CVE21-56) que aprovechan las fallas del proxy microsock, el proxy inverso rápido (FRP), FSCAN, el respondedor y el proxychains, así como los programas que aprovechan los defectos de los sistemas de Linux y unix, así como Linux-2021, y 404 CVE21-56. escalada.
Además de usar una combinación de herramientas a medida y publicadas, se ha encontrado que los actores de amenaza emplean muchas estrategias para volar bajo el radar. Esto incluye túneles DNS para el tráfico, enrutamiento del tráfico a través de operadores móviles comprometidos, la eliminación de registros de autenticación, deshabilitar la seguridad mejorada de Linux (Selinux) y suplantando nombres de procesos con un nombre convincente que coincide con el entorno de destino.
«CL-STA-0969 demuestra una comprensión profunda de los protocolos de comunicaciones e infraestructura», afirma la Unidad 42. «Su malware, herramientas y técnicas revelan un esfuerzo calculado para mantener un acceso sostenible y sigiloso. Esto se logró proxyendo el tráfico a través de otros nodos de comunicación, los datos de túneles utilizando protocolos menos calificados y empleando una variedad de técnicas de evasión de defensa».
China acusa a las instituciones estadounidenses de dirigir instituciones militares y de investigación
La divulgación es que el Equipo Técnico de Respuesta a Emergencias de la Red Nacional de Computación/Centro de Coordinación de China (CNCERT) acusó a Microsoft Exchange Exploit de día cero de armarse su Explotación de día cero de Microsoft Exchange desde julio de 2022 hasta julio de 2023 y el arma de la explotación de día cero de Microsoft Exchange a Stoal y Hijack más de 50 dispositivos que pertenecen a «compañías militares líderes de julio 2022 y julio de 2023. 2023.
La agencia también dijo que las universidades relacionadas con los militares de alta tecnología, los institutos de investigación científica y las compañías nacionales han dirigido como parte de estos ataques para absorber datos valiosos de los anfitriones comprometidos. CNCERT supuestamente descubrió que las compañías militares chinas en el sector de comunicaciones y satélite de Internet fueron atacadas entre julio y noviembre de 2024 al explotar las vulnerabilidades en los sistemas electrónicos de archivos.
Los esfuerzos de atributos reflejan las tácticas occidentales, que han denunciado repetidamente los principales ataques cibernéticos y contaron el último apalancamiento de día cero de los servidores de Microsoft SharePoint.
Cuando se le preguntó el mes pasado acerca de piratear el sistema de telecomunicaciones de EE. UU. Y el robo de propiedad intelectual en Fox News, el presidente Donald Trump dijo: «¿No creemos que les haremos eso? Hacemos mucho. Ese es el trabajo del mundo. Es un mundo desagradable».
Source link
