Μια
hacking ομάδα
έχει αναπτύξει ένα νέο
backdoor
που χρησιμοποιείται σε
εκστρατείες
κυβερνο-κατασκοπείας
, οι οποίες στοχεύουν
στρατιωτικούς οργανισμούς από τη Νοτιοανατολική
Ασία
.
backdoor
Για τουλάχιστον μια δεκαετία, η
hacking ομάδα
Naikon
κατασκοπεύει οργανισμούς σε διάφορες χώρες, όπως Φιλιππίνες, Μαλαισία,
Ινδονησία
, Σιγκαπούρη και Ταϊλάνδη.
Η Naikon είναι
πιθανώς μια κρατική
hacking ομάδα
, που συνδέεται με την Κίνα,
και είναι κυρίως γνωστή για τις
επιθέσεις
της σε οργανισμούς “υψηλού προφίλ”, όπως
κυβερνητικούς φορείς
και
στρατιωτικούς οργανισμούς.
Δείτε επίσης
:
Κινέζοι
χάκερς
εκμεταλλεύτηκαν Pulse Secure VPN zero-day για να παραβιάσουν εργολάβους άμυνας των ΗΠΑ
Κατά τη διάρκεια των επιθέσεών της, η Naikon έκανε
κατάχρηση
νόμιμου λογισμικού για να φορτώσει παράλληλα το
second-stage malware με το
όνομα
Nebulae.
Σύμφωνα με ερευνητές της
Bitdefender
, αυτό χρησιμοποιείται πιθανότατα για
persistence
στα
συστήματα
των θυμάτων.
Όμως, το Nebulae malware παρέχει πρόσθετες
δυνατότητες
που επιτρέπουν στους εισβολείς να συλλέγουν πληροφορίες συστήματος, να χειρίζονται
αρχεία
και φακέλους, να κατεβάζουν
αρχεία
από τον command-and-control server και να εκτελούν, να καταγράφουν ή να τερματίζουν διαδικασίες σε παραβιασμένες
συσκευές
.
Δείτε επίσης
: Hackers χρησιμοποιούν το Telegram στα πλαίσια malware εκστρατείας
backdoor
“
Τα
δεδομένα
που έχουμε συγκεντρώσει μέχρι στιγμής δεν λένε σχεδόν τίποτα για το ρόλο του Nebulae σε αυτήν την επιχείρηση, αλλά η παρουσία του persistence μηχανισμού θα μπορούσε να σημαίνει ότι χρησιμοποιείται ως εφεδρικό σημείο πρόσβασης στο σύστημα του θύματος, σε περίπτωση αρνητικού σεναρίου για τους hackers
“, είπε ο ερευνητής της Bitdefender, Victor Vrabie.
Στις ίδιες
επιθέσεις
, οι hackers της Naikon παρέδωσαν επίσης ένα
first-stage malware
, που είναι γνωστό ως
RainyDay
ή
FoundCore
. Αυτό το malware χρησιμοποιείται για την
ανάπτυξη
second-stage payloads και εργαλείων (συμπεριλαμβανομένου του Nebulae
backdoor
) που χρησιμοποιούνται για διάφορους σκοπούς.
Δείτε επίσης
:
SolarWinds
Sunburst
backdoor
: Κοινά στοιχεία με malware ρωσικής APT ομάδας
“
Χρησιμοποιώντας το RainyDay
backdoor
, οι
εγκληματίες
πραγματοποιούν reconnaissance
επιθέσεις
, κάνουν upload reverse proxy tools και scanners, τρέχουν password dump tools, επιτρέπουν persistence κλπ για να θέσουν σε κίνδυνο το δίκτυο των θυμάτων και να φτάσουν στις πληροφορίες που τους ενδιαφέρουν
“, είπε ακόμη ο Vrabie. Κατά τη διάρκεια επιθέσεων που παρατηρήθηκαν μεταξύ Ιουνίου 2019 και Μαρτίου 2021, η Naikon εγκατέστησε κακόβουλα payloads χρησιμοποιώντας διάφορες side-loading τεχνικές, συμπεριλαμβανομένων DLL hijacking ευπαθειών.
Πηγή: Bleeping Computer
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.
Hackers στοχεύουν στρατιωτικούς οργανισμούς με το Nebulae backdoor | O Efialtis
[…] εδώ Hackers στοχεύουν στρα&tau… για να διαβάσετε […]