Chinese hackers richten zich op Taiwanese financiële instellingen met een nieuwe stealthy backdoor

Chinese hackers richten zich op Taiwanese financiële instellingen met een nieuwe stealthy backdoor Nachrichten

Een Chinese APT-groep (Advanced Persistent Threat) heeft zich gericht op Taiwanese financiële instellingen als onderdeel van een „persistente campagne“ die ten minste 18 maanden heeft geduurd.

De inbraken, waarvan de primaire bedoeling spionage was, resulteerde in de inzet van een achterdeur genaamd xPackwaardoor de tegenstander uitgebreide controle heeft over gecompromitteerde machines, zei Symantec, eigendom van Broadcom, in een: verslag doen van vorige week gepubliceerd.

Wat opvalt aan deze campagne is de hoeveelheid tijd die de dreigingsactor op slachtoffernetwerken loerde, waardoor de operators ruimschoots de gelegenheid kregen voor gedetailleerde verkenning en het exfiltreren van potentieel gevoelige informatie met betrekking tot zakelijke contacten en investeringen zonder enige rode vlaggen te veroorzaken.

In een van de niet nader genoemde financiële organisaties brachten de aanvallers tussen december 2020 en augustus 2021 bijna 250 dagen door, terwijl een productie-entiteit haar netwerk ongeveer 175 dagen onder hun hoede had.

Hoewel de initiële toegangsvector die werd gebruikt om de doelen te schenden onduidelijk blijft, wordt vermoed dat Antlion een fout in de webtoepassing heeft gebruikt om voet aan de grond te krijgen en de aangepaste xPack-achterdeur te laten vallen, die wordt gebruikt om systeemopdrachten uit te voeren, daaropvolgende malware en tools te verwijderen, en stage gegevens voor exfiltratie.

Bovendien gebruikte de dreigingsactor op C++ gebaseerde aangepaste laders en een combinatie van legitieme kant-en-klare tools zoals AnyDesk en living-off-the-land (LotL) technieken om toegang op afstand te krijgen, referenties te dumpen en willekeurige opdrachten uit te voeren.

„Antlion wordt verondersteld betrokken te zijn geweest bij spionageactiviteiten sinds ten minste 2011, en deze recente activiteit laat zien dat het nog steeds een acteur is om op de hoogte te zijn meer dan 10 jaar nadat het voor het eerst verscheen“, aldus de onderzoekers.

De bevindingen dragen bij aan een groeiende lijst van aan China gelieerde natiestaatgroepen die zich de afgelopen maanden op Taiwan hebben gericht, met kwaadaardige cyberactiviteiten die werden opgezet door bedreigingsactoren die werden gevolgd toen Tropic Trooper en Earth Lusca de overheid, de gezondheidszorg, het transport en het onderwijs in het land.

David
Rate author
Hackarizona