Kısa bir aradan sonra, Alaşım Taurus APT (namı diğer Gallium veya Operation Soft Cell), PingPull kötü amaçlı yazılımının yeni bir Linux çeşidiyle sahneye geri döndü.
Alloy Taurus, en az 2012’den beri var olan ancak 2019’dan beri yalnızca gündemde olan Çin ulus-devlet bağlantılı bir tehdit aktörüdür. Casusluğa odaklanır ve en çok büyük telekomünikasyon sağlayıcılarını hedef almasıyla bilinir.
Geçen Haziran ayında bir blog yazısında, Palo Alto Networks’ Ünite 42, orijinalin ayrıntılarını yayınladı, PingPull’un Windows sürümü. Bu, sahibinin güvenliği ihlal edilmiş bir hedef bilgisayarda komutları çalıştırmasını ve ters kabuğa erişmesini sağlayan Visual C++ tabanlı bir uzaktan erişim Truva Atı’ydı (RAT).
Alaşım Boğa 2022’nin ikinci yarısında darbe aldı, ama şimdi tamamen geri döndü. Unit 42’nin baş araştırmacısı Pete Renals, “PingPull’un Windows sürümünü yaktılar,” diye açıklıyor, “ve farklı bir değişkene geçme konusunda bir dereceye kadar uzmanlık gösteren yeni bir yetenek geliştirdiler.”
Linux varyantı, Windows atası ile büyük ölçüde örtüşüyor ve saldırganların komutları çalıştırmanın yanı sıra dosyaları listelemesine, okumasına, yazmasına, kopyalamasına, yeniden adlandırmasına ve silmesine izin veriyor. İlginç bir şekilde PingPull, Microsoft Exchange Sunucularına yönelik 2021 saldırılarında rezil bir şekilde konuşlandırılan China Chopper Web kabuğuyla bazı işlevleri, HTTP parametrelerini ve komut işleyicilerini de paylaşıyor.
Alaşım Boğa’nın Düşüşü
Alloy Taurus, 2018-2019’da dünya çapındaki büyük telekomünikasyon sağlayıcılarına karşı cesur casusluk kampanyalarıyla sahneye çıktı. Gibi Cybereason açıkladı Haziran 2019’daki o zamanki blog gönderisinde, “tehdit aktörü, diğer kişisel olarak tanımlanabilir bilgiler, fatura verileri, çağrı ayrıntısı kayıtları ile birlikte kuruluştaki her bir kullanıcı adı ve şifreyi ele geçirerek aktif dizinde depolanan tüm verileri çalmaya çalışıyordu. , kimlik bilgileri, e-posta sunucuları, kullanıcıların coğrafi konumu ve daha fazlası.”
Renals, diğer Çin devlet düzeyindeki APT’lerle karşılaştırıldığında bile “oldukça olgun ve oldukça ciddi” olduğunu değerlendiriyor. “Bir AT&T veya Verizon veya Deutsche Telekom’a girme, dikkat çekmeme ve yönlendirici yapılandırmalarını değiştirme yeteneği, belirli bir uzmanlık derecesi gerektirir. Bu, hiçbir şekilde, şekilde veya biçimde sizin genç üniversite takımınız değildir.”
Ancak araştırmacıların yakın zamanda keşfettiği gibi, Alaşımlı Boğa yenilmez değildi.
Unit 42, Haziran blog gönderisinde, grubun 2021’in sonlarında ve 2022’nin başlarında PingPull Windows RAT’ını birden çok kampanyada kullanarak yüksekten uçtuğunu belirtti. Telekomünikasyon şirketlerinin yanı sıra Afganistan, Avustralya, Belçika, Kamboçya, Malezya, Mozambik, Filipinler, Rusya ve Vietnam’da bulunan askeri ve hükümet kuruluşlarını da hedef aldı.
Renals, “Haziran ayında yayımlamamızdan yalnızca üç ila beş gün sonra, raporda yer alan tüm altyapılarını terk etmelerini izledik” diyor Renals. “Belirli bir hükümete ve Güneydoğu Asya’ya işaret edecek şekilde her şeyi değiştirdiler – böylece tüm işaret verici implantlar ve tüm kurbanlar başka bir ülkeye yönlendirildi – ve temelde hepsini ellerinden sildiler.”
Alaşım Boğa’nın Dönüşü
Alaşımlı Boğa tamamen ortadan kaybolmamıştı ama kesinlikle geri çekilmişti. Renals, “Toprakta yaşıyorlardı” diye açıklıyor. “Çekirdek yukarı akış altyapısının bir kısmı açık ve çalışır durumda kaldı.”
Aralık ayında araştırmacılar yeni yaşam belirtileri bulduklarında zafer kısa sürdü. Ve Mart ayında, eski PingPull kötü amaçlı yazılımının bir Linux örneğini ele geçirdiler. Renals, “Olgun bir APT’nin çok hızlı yanıt verme ve uyum sağlama yeteneğini gösteriyor” diyor.
APT’lerin yeni biçimlerde bu kadar zahmetsizce geri dönebilmesi, siber savunucular için bir muamma sunuyor. Yarın yeni makyajla geri dönebilecekse, bugün Alaşım Taurus gibi bir gruba karşı nasıl korunabilir?
Renals, “Belirli uzlaşma göstergelerini (IoC’ler) izleme günlerinin büyük ölçüde geride kaldığını düşünüyorum” diyor. “Artık daha çok teknikleri ve taktikleri takip etmek ve bu tür etkinlikleri tespit edecek davranışsal analitiklere sahip olmak hakkında. Uç noktayı değiştirdiğimiz yer burası, ağ güvenliğini de değiştirdiğimiz yer burası.”
Yeni PingPull’u keşfetmenin, sofistike APT’leri çözmenin bu daha iyi yolu için bir örnek olduğuna inanıyor. “Linux varyantını başlangıçta iyi huylu olarak değerlendirmiş olabiliriz. Sonra ona baktık ve ‘Hey, bir dakika. Bu, kötü niyetli başka bir şeye çok benzer özelliklere sahip. Gidip buna bir insan bakalım’ dedik. .’ Dolayısıyla, bu yeteneğe sahip olmak çok önemlidir.”