top of page
kcelinska

Spostrzeżenia FBI dotyczące kampanii malware w Pacific Rim

FBI zwróciło się do opinii publicznej o pomoc w zidentyfikowaniu osób stojących za szeroko zakrojoną kampanią ukierunkowaną na urządzenia brzegowe i sieci w różnych branżach i rządach. Kampania wykorzystuje złośliwe oprogramowanie do wykorzystywania luk, eksfiltracji poufnych danych i utrzymywania stałego dostępu, co ma wpływ na krytyczną infrastrukturę na całym świecie.


Ta operacja podkreśla wyrafinowane i uporczywe taktyki stosowane przez grupy #APT powiązane z chińskimi podmiotami sponsorowanymi przez państwo, takimi jak APT31, APT41 i Volt Typhoon. Oto, co musisz wiedzieć:


  • Kluczowe ustalenia


- Wykorzystanie urządzeń brzegowych: Atakujący atakują zapory sieciowe i inne urządzenia brzegowe, wykorzystując luki takie jak CVE-2020-12271, CVE-2020-15069 i inne.

- Docelowe branże: Ofiary obejmują sektory krytycznej infrastruktury — dostawców energii jądrowej, ministerstwa rządowe, opiekę zdrowotną i obronność, głównie w Azji Południowej i Południowo-Wschodniej. - Ewolucja taktyk: Od 2021 r. wcześniejsze szeroko zakrojone ataki przekształciły się w wysoce ukierunkowane operacje, koncentrujące się na sektorach krytycznych i stosujące strategie „bezpośredniego użycia klawiatury”.


  • Obserwowane techniki

Wyłączanie rejestrowania zdarzeń (T1562.002):

- Atakujący wyłączają rejestrowanie, aby zamaskować złośliwe działania.

- Przykład: Użycie złośliwego oprogramowania, takiego jak Pygmy Goat, wyrafinowanego tylnego wejścia do stałego zdalnego dostępu.


Wykorzystywanie luk:

Atakujący wykorzystują luki typu zero-day, przechodząc później do precyzyjnych ataków ze znanymi exploitami.


Rootkity:

Wdrażanie rootkitów, takich jak libsophos.so, umożliwiające dostęp tylnymi drzwiami, jednocześnie wtapiając się w normalną aktywność sieciową.


Operacyjne skrzynki przekaźnikowe:

Urządzenia brzegowe ponownie wykorzystywane jako serwery proxy w celu ukrycia źródeł ataków i ułatwienia dalszego kierowania.


  • Profil podmiotu stanowiącego zagrożenie

- Powiązania z uniwersytetem: Wiele exploitów zostało powiązanych z badaczami z Uniwersytetu Nauki Elektronicznej i Technologii w Chinach, a ustalenia te zostały później udostępnione grupom sponsorowanym przez państwo.

- Linia montażowa exploitów: Rozwój exploitów w instytucjach edukacyjnych, przekazywany aktorom APT na pierwszej linii frontu, odzwierciedla systematyczne dzielenie się, zgodnie z wymogami chińskich przepisów o ujawnianiu luk w zabezpieczeniach.


  • Zalecenia dotyczące obrony


Zarządzanie poprawkami:

Regularnie aktualizuj systemy, aby usuwać luki, zwłaszcza te w urządzeniach brzegowych i zaporach sieciowych.


Rejestrowanie zdarzeń:

Zapewnij odporne na manipulacje rozwiązania rejestrowania i scentralizowane monitorowanie w celu lepszego wykrywania i analizy.


Segmentacja sieci:

Izoluj urządzenia brzegowe od krytycznych systemów wewnętrznych, aby ograniczyć ruch boczny.


Monitorowanie:

Używaj piaskownicy i systemów wykrywania włamań, aby monitorować nietypowe zachowania w czasie rzeczywistym.


Współpraca i udostępnianie informacji wywiadowczych o zagrożeniach:

Współpracuj z krajowymi i globalnymi organizacjami ds. bezpieczeństwa, aby być na bieżąco z pojawiającymi się zagrożeniami.






FBI Insights into Pacific Rim Malware Campaigns


The FBI has called on the public for assistance in identifying individuals behind an extensive campaign targeting edge devices and networks across industries and governments. The campaign leverages malware to exploit vulnerabilities, exfiltrate sensitive data, and maintain persistent access, impacting critical infrastructure worldwide.


This operation highlights the sophisticated and persistent tactics used by #APT groups linked to Chinese state-sponsored actors such as APT31, APT41, and Volt Typhoon. Here’s what you need to know:


  • Key Findings


- Exploitation of Edge Devices: Attackers target firewalls and other edge devices, exploiting vulnerabilities like CVE-2020-12271, CVE-2020-15069, and more.

- Targeted Industries: Victims include critical infrastructure sectors—nuclear energy suppliers, government ministries, healthcare, and defense, predominantly in South and Southeast Asia.

- Evolving Tactics: Earlier widespread attacks have shifted to highly targeted operations since 2021, focusing on critical sectors with “hands-on-keyboard” strategies.


  • Techniques Observed


Disabling Event Logging (T1562.002):

- Attackers disable logging to mask malicious activities.

- Example: Use of malware like Pygmy Goat, a sophisticated backdoor for persistent remote access.


Exploitation of Vulnerabilities:

Attackers exploit zero-day vulnerabilities, later transitioning to precise attacks with known exploits.


Rootkits:

Deployment of rootkits like libsophos.so, enabling backdoor access while blending into normal network activity.


Operational Relay Boxes:

Edge devices repurposed as proxies to obscure attack origins and facilitate onward targeting.


  • Threat Actor Profile


- University Ties: Many of the exploits were traced to researchers from the University of Electronic Science and Technology of China, with findings later shared with state-sponsored groups.

- Assembly Line of Exploits: Exploit development in educational institutions, passed to frontline APT actors, reflects systemic sharing as mandated by China’s vulnerability disclosure laws.


  • Defense Recommendations


Patch Management:

Regularly update systems to address vulnerabilities, especially those in edge devices and firewalls.


Event Logging:

Ensure tamper-proof logging solutions and centralized monitoring for better detection and analysis.


Network Segmentation:

Isolate edge devices from critical internal systems to limit lateral movement.


Monitoring:

Use sandboxing and intrusion detection systems to monitor unusual behavior in real-time.


Collaboration and Threat Intelligence Sharing:

Work with national and global security organizations to stay informed of emerging threats.




2 wyświetlenia0 komentarzy

Comments

Rated 0 out of 5 stars.
No ratings yet

Add a rating
bottom of page