Las organizaciones de telecomunicaciones en el sudeste oriental han sido atacadas por un actor de amenaza patrocinado por el estado conocido como CL-969 Para simplificar el control remoto sobre las redes comprometidas.
Palo Detención Networks Unit 42 dijo que observó múltiples incidentes en la región, incluido uno dirigido a la infraestructura crítica de telecomunicaciones entre febrero y noviembre de 2024.
Los ataques se caracterizan por el uso de varias herramientas para habilitar el entrada remoto, así como la implementación de CordScan, que puede compendiar datos de ubicación de dispositivos móviles.
Sin bloqueo, la compañía de ciberseguridad dijo que no encontró evidencia de exfiltración de datos de las redes y sistemas que investigó. Los atacantes siquiera hicieron esfuerzos para rastrear o comunicarse con dispositivos objetivo internamente de las redes móviles.
“El actor de amenaza detrás de CL-STA-0969 mantuvo una adhesión seguridad operativa (OPSEC) y empleó varias técnicas de esparcimiento de defensa para evitar la detección”, dijeron los investigadores de seguridad Renzon Cruz, Nicolas Bareil y Navin Thomas.
CL-STA-0969, por dispositivo 42, comparte superposiciones significativas con un corro rastreado por crowdstrike bajo el nombre de Panda Liminal, un corro de espionaje de China-Nexus que se ha atribuido a ataques dirigidos contra entidades de telecomunicaciones en Asia del Sur y África desde al menos 2020 con el objetivo de la reunión de inteligencia.
Vale la pena señalar que algunos aspectos de la artesanía de Liminal Panda se atribuyeron previamente a otro actor de amenaza llamado LightBasin (igualmente conocido como UNC1945), que igualmente ha señalado el sector de las telecomunicaciones desde 2016. Lightbasin, por su parte, se superpone a un tercer corro denominado UNC2891, una Cantelera con motivación financiera conocida por sus ataques en Attater Machine (Atter (Machine (Machine (Machine (Machine de cajera) (Influte).
“Si adecuadamente este corro se superpone significativamente con el panda liminal, igualmente hemos observado superposiciones en las herramientas de atacantes con otros grupos informados y grupos de actividades, incluidos Light Basin, UNC3886, UNC2891 y UNC1945”, señalaron los investigadores.
En al menos un caso, se cree que CL-STA-0969 empleó ataques de fuerza bruta contra los mecanismos de autenticación de SSH para el compromiso auténtico, aprovechando el entrada a eliminar varios implantes como-
- Authdoorun módulo de autenticación de confuso desconfiado (PAM) que funciona de guisa similar a Slapstick (originalmente atribuido a UNC1945) para sobrellevar al robo de credenciales y proporcionar un entrada persistente al host comprometido a través de una contraseña mágica codificada
- Cableuna utilidad de escaneo de red y captura de paquetes (previamente atribuido al panda liminal)
- Gtpdoorun malware diseñado explícitamente para ser implementado en redes de telecomunicaciones que están adyacentes a los intercambios de roaming GPRS
- EcoBackdooruna puerta trasera pasiva que audición los paquetes de solicitudes de echo de echo ICMP que contienen instrucciones de comando y control (C2) para extraer el comando y mandar los resultados de la ejecución de regreso al servidor a través de un paquete de respuesta de echo de echo de ICMP no secreto
- Sirviendo el rival de nodo de soporte GPRS (SGSN) (SGSNemu)un software de rivalidad para el tráfico del túnel a través de la red de telecomunicaciones y las restricciones de firewall de prescindir (previamente atribuido al panda liminal)
- Cronsratun binario ELF modular que es capaz de ejecución de shellcode, operaciones de archivo, keylogging, reenvío de puertos, shell remoto, captura de captura de pantalla y capacidades proxy
- Nodopdns (referido internamente como MyDNS), una puerta trasera de Golang que crea un enchufe en bruto y audición pasivamente el tráfico UDP en el puerto 53 para analizar los comandos entrantes a través de mensajes DNS
“CL-STA-0969 aprovechó los diferentes scripts de shell que establecieron un túnel SSH inverso yuxtapuesto con otras funcionalidades”, señalaron la Dispositivo 42 investigadores. “CL-STA-0969 poso sistemáticamente los registros y elimina los ejecutables cuando ya no son necesarios, para sustentar un suspensión calidad de OPSEC”.
Adicionalmente, a la cartera ya amplia de herramientas maliciosas que el actor de amenaza ha implementado son microsocks proxy, proxy inverso rápido (FRP), FSCAN, respondedor y proxychains, así como programas para explotar fallas en sistemas basados en Linux y Unix (CVE-2016-5195, CVE-2021-4034 y CVE-2021-3151-3156) a 3156) a 3156). ascensión.
Adicionalmente de usar una combinación de herramientas a medida y disponibles públicamente, se ha incompatible que los actores de amenaza adoptan una serie de estrategias para pirarse bajo el radar. Esto albarca el túnel DNS del tráfico, enrutando el tráfico a través de operadores móviles comprometidos, borrando registros de autenticación, deshabilitar Linux mejorado con seguridad (Selinux) y disfrazando los nombres de procesos con nombres convincentes que coinciden con el entorno de destino.
“CL-STA-0969 demuestra una comprensión profunda de los protocolos de telecomunicaciones e infraestructura”, dijo la Dispositivo 42. “Su malware, herramientas y técnicas revelan un esfuerzo calculado para sustentar un entrada persistente y sigiloso. Lo logró al proxyizar el tráfico a través de otros nodos de telecomunicaciones, túneles de datos utilizando protocolos menos escrutinizados y empleando diversas técnicas de esparcimiento de defensa”.
China acusa a las agencias estadounidenses de atacar instituciones militares e de investigación
La divulgación se produce cuando el Equipo Técnico de Respuesta a Emergencias de la Red Doméstico de Computación/Centro de Coordinación de China (CNCERT) acusó a las agencias de inteligencia estadounidenses de armarse una exploit de día cero de Microsoft Exchange para robar información relacionada con la defensa y secuestrar a más de 50 dispositivos que pertenecen a una “empresa marcial china principal” entre julio de 2022 y julio de 2023.
La agencia igualmente dijo que las universidades relacionadas con los militares de adhesión tecnología, los institutos de investigación científica y las empresas en el país fueron atacadas como parte de estos ataques para desviar los valiosos datos de los anfitriones comprometidos. Entre los objetivo se encontraba una empresa marcial china en los sectores de comunicaciones y adiátere de Internet que fue atacado de julio a noviembre de 2024 al explotar vulnerabilidades en los sistemas electrónicos de archivos, alegó CNCERT.
El esfuerzo de atribución refleja las tácticas de Oeste, que ha culpado repetidamente a China por los principales ataques cibernéticos, contando la última explotación de día cero del servidor de Microsoft SharePoint.
Cuando se le preguntó el mes pasado sobre la piratería china en los sistemas de telecomunicaciones de EE. UU. Y el robo de propiedad intelectual en Fox News, el presidente de los Estados Unidos, Donald Trump, dijo: “¿No crees que les hagamos eso? Lo hacemos. Hacemos muchas cosas. Así es como funciona el mundo. Es un mundo desagradable”.
