Μια εξελιγμένη και μακροχρόνια εκστρατεία κατασκοπείας στον κυβερνοχώρο, η οποία παρακολουθείται ως CL-STA-1087, στοχεύει αθόρυβα στρατιωτικούς οργανισμούς σε όλη τη Νοτιοανατολική Ασία τουλάχιστον από το 2020.
Η επιχείρηση, η οποία αξιολογήθηκε με μέτρια εμπιστοσύνη ότι συνδέεται με έναν παράγοντα απειλής ευθυγραμμισμένο με την Κίνα, επικεντρώνεται στη συλλογή στρατηγικών και επιχειρησιακών πληροφοριών αντί απλώς στην κλοπή μεγάλων ποσοτήτων δεδομένων.
Οι εισβολείς έδωσαν προτεραιότητα στο να παραμείνουν κρυφοί, χρησιμοποιώντας προσαρμοσμένα εργαλεία και προσεκτικές τεχνικές για να αποφύγουν τον εντοπισμό με την πάροδο του χρόνου.
Η εκστρατεία ήρθε για πρώτη φορά στο φως όταν τα εργαλεία ασφάλειας τελικού σημείου επισήμαναν ύποπτη δραστηριότητα PowerShell σε ένα μη διαχειριζόμενο τελικό σημείο εντός ενός στοχευμένου στρατιωτικού δικτύου.
Οι ερευνητές συνειδητοποίησαν γρήγορα ότι δεν επρόκειτο για μια νέα εισβολή — οι εισβολείς είχαν ήδη δημιουργήσει μια βάση, εκτελώντας σενάρια καθυστερημένης εκτέλεσης που συνδέονταν ξανά σε πολλαπλούς διακομιστές εντολών και ελέγχου (C2).
Αυτά τα σενάρια σχεδιάστηκαν για να κοιμούνται για διαστήματα έξι ωρών μεταξύ των ενεργειών, μια σκόπιμη κίνηση για να ξεπεράσουμε τα εργαλεία αυτοματοποιημένης ανίχνευσης που παρακολουθούν για ασυνήθιστες αιχμές στη δραστηριότητα.
Οι αναλυτές της PolySwarm εντόπισαν δείγματα της κύριας κερκόπορτας χρησιμοποίησε σε αυτή την εκστρατεία, το AppleChris, επιβεβαιώνοντας τον ενεργό ρόλο του στην επιχείρηση κατασκοπείας.
Μετά από ησυχία για αρκετούς μήνες, οι παράγοντες της απειλής επανεμφανίστηκαν και άρχισαν να κινούνται πλευρικά στα παραβιασμένα δίκτυα.
Χρησιμοποίησαν τα Windows Management Instrumentation (WMI) και τις εγγενείς εντολές των Windows .NET για να διαδώσουν κακόβουλο λογισμικό σε ελεγκτές τομέα, διακομιστές ιστού, σταθμούς εργασίας πληροφορικής και εκτελεστικά συστήματα — όλοι οι στόχοι υψηλής αξίας σε ένα στρατιωτικό περιβάλλον.
Η εστίασή τους στα συστήματα Command, Control, Communications, Computers and Intelligence (C4I) αποκαλύπτει πόσο εσκεμμένη ήταν πραγματικά αυτή η επιχείρηση.
Η Μονάδα 42 του Palo Alto έκανε αναφορά σε αυτή τη δραστηριότητα, ρίχνοντας περισσότερο φως στο εύρος και την πολυπλοκότητα της εκστρατείας.
Οι εισβολείς χρησιμοποίησαν τρία βασικά εργαλεία: το AppleChris και το MemFun ως προσαρμοσμένες πόρτες ασφαλείας και το Getpass, μια τροποποιημένη έκδοση του γνωστού εργαλείου κλοπής διαπιστευτηρίων Mimikatz.
Τα λειτουργικά τους μοτίβα ευθυγραμμίζονταν με συνέπεια με τις εργάσιμες ώρες UTC+8 και η υποδομή τους περιελάμβανε υπηρεσίες cloud που βασίζονται στην Κίνα, με στοιχεία Απλοποιημένης Κινεζικής γλώσσας που βρίσκονται σε τμήματα του περιβάλλοντος C2.
Αν και καμία συγκεκριμένη ομάδα δεν έχει κατονομαστεί επίσημα, αυτοί οι δείκτες συλλογικά υποδεικνύουν μια προέλευση από την Κίνα.
Η στρατηγική επιμονής της εκστρατείας ήταν εξίσου σκόπιμη. Οι επιτιθέμενοι δημιούργησαν νέες υπηρεσίες Windows και πραγματοποίησαν Εισβολή DLL τοποθετώντας κακόβουλα αρχεία DLL μέσα στον κατάλογο system32, καταγράφοντας τα μέσω νόμιμων υπηρεσιών των Windows για ανάμειξη.
Αυτές οι μέθοδοι έδωσαν στους παράγοντες της απειλής μια σταθερή, μακροπρόθεσμη παρουσία σε περιβάλλοντα που ήταν σε κίνδυνο, επιτρέποντάς τους να λειτουργούν αθόρυβα στο παρασκήνιο χωρίς να προκαλούν συναγερμό.
Προσαρμοσμένες κερκόπορτες και κλοπή διαπιστευτηρίων
Στον πυρήνα αυτής της καμπάνιας βρίσκεται ένα πολυεπίπεδο κιτ εργαλείων κατασκευασμένο για μυστικότητα και μακροζωία. Το AppleChris, το κύριο backdoor, ανέκτησε τις διευθύνσεις του διακομιστή C2 δυναμικά από το Pastebin και οι προηγούμενες εκδόσεις χρησιμοποιούσαν επίσης το Dropbox.
Αυτή η προσέγγιση, γνωστή ως τεχνική Dead Drop Resolver (DDR), επέτρεψε στο κακόβουλο λογισμικό να ανακτήσει κρυπτογραφημένα δεδομένα σύνδεσης κατά το χρόνο εκτέλεσης.
Τα δεδομένα που ανακτήθηκαν αποκωδικοποιήθηκαν από το Base64 και στη συνέχεια αποκρυπτογραφήθηκαν χρησιμοποιώντας ένα ενσωματωμένο ιδιωτικό κλειδί RSA-1024, πράγμα που σημαίνει ότι δεν είχαν μείνει στατικές ενδείξεις δικτύου για να βρουν οι υπερασπιστές.
Μόλις ενεργοποιηθεί πλήρως, το AppleChris υποστήριξε λειτουργίες αρχείων, απαρίθμηση διεργασιών και απομακρυσμένη εκτέλεση φλοιού μέσω προσαρμοσμένων ρημάτων HTTP.
Η δευτερεύουσα κερκόπορτα, MemFun, κατασκευάστηκε για να λειτουργεί εξ ολοκλήρου στη μνήμη, καθιστώντας πολύ πιο δύσκολο τον εντοπισμό στο δίσκο.
Η αλυσίδα μόλυνσης του ξεκίνησε με ένα αρχείο μεταμφιεσμένο ως GoogleUpdate.exe, το οποίο ξεκίνησε ένα πρόγραμμα λήψης στη μνήμη που έλαβε ένα τελικό ωφέλιμο φορτίο DLL από τον διακομιστή C2.
Το MemFun χρησιμοποίησε χρονική μέτρηση, κούφωμα διεργασιών στο dllhost.exe και ανακλαστική Η φόρτωση DLL για να παραμείνει κρυφή, ενώ τα κλειδιά Blowfish για συγκεκριμένες περιόδους διασφάλιζαν ότι κάθε ανταλλαγή ωφέλιμου φορτίου ήταν μοναδικά κρυπτογραφημένη.
Η κλοπή διαπιστευτηρίων αντιμετωπίστηκε από το Getpass, το οποίο αντλούσε σιωπηλά κωδικούς πρόσβασης απλού κειμένου, κατακερματισμούς NTLM και διακριτικά ελέγχου ταυτότητας από τη διαδικασία lsass.exe.
Σε αντίθεση με το τυπικό Mimikatz, αυτή η παραλλαγή έτρεχε αυτόματα και αποθήκευσε κλεμμένα δεδομένα σε ένα αρχείο με το όνομα WinSAT.db, μιμούμενο ένα νόμιμο αρχείο συστήματος των Windows.
Οι οργανισμοί στον τομέα της άμυνας θα πρέπει να επιβάλλουν αυστηρή παρακολούθηση της δραστηριότητας του PowerShell και του WMI, να εφαρμόζουν σκλήρυνση εντολών αναζήτησης DLL και να παρακολουθούν όλες τις προσπάθειες πρόσβασης LSASS.
