Οι hackers Tropic Trooper στοχεύουν κυβερνητικές υπηρεσίες
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Οι hackers Tropic Trooper στοχεύουν κυβερνητικές υπηρεσίες
https://www.secnews.gr/617183/hackers-tropic-trooper-stoxeuoun-kibernitikes-ipiresies/
Sep 6th 2024, 15:52
Οι hackers Tropic Trooper (γνωστοί και ως KeyBoy, Pirate Panda και APT23), οι οποίοι ασχολούνται με την κυβερνοκατασκοπεία από το 2011, στοχεύουν τώρα κυβερνητικές υπηρεσίες.
Αναλυτές κυβερνοασφάλειας στην Kaspersky Lab παρατήρησαν ότι η ομάδα APT στοχεύει γενικά κυβερνητικά ιδρύματα, στρατιωτικές υπηρεσίες, οργανισμούς υγειονομικής περίθαλψη, εταιρείες μεταφορών και εταιρείες τεχνολογίας στην Ταϊβάν, τις Φιλιππίνες και το Χονγκ Κονγκ.
Οι πιο πρόσφατες επιθέσεις σε κυβερνητική υπηρεσία στοχεύουν στην κλοπή ευαίσθητων δεδομένων.
Δείτε επίσης: Οι Ιρανοί hackers APT33 στοχεύουν κυβερνήσεις με το Tickler malware
Σύμφωνα με τους ερευνητές, οι κινεζόφωνοι hackers Tropic Trooper διεξάγουν μια περίπλοκη επίθεση κυβερνοκατασκοπείας εναντίον μιας κυβερνητικής υπηρεσίας στη Μέση Ανατολή. Η επιχείρηση ξεκίνησε τον Ιούνιο του 2023 αλλά έγινε αντιληπτή ένα χρόνο αργότερα. Η εταιρεία ασφαλείας εντόπισε μια παραλλαγή του China Chopper web shell σε public web server. Ο διακομιστής φιλοξενούσε ένα σύστημα διαχείρισης περιεχομένου ανοιχτού κώδικα (CMS) που ονομάζεται Umbraco. Το παρατηρούμενο web shell component ήταν ένα NET module του Umbraco CMS.
Μετέπειτα έρευνα στο δημόσιο διακομιστή οδήγησε στην εύρεση διαφόρων malware. Αυτά περιλαμβάνουν post-exploitation tools, τα οποία, πιστεύεται ότι μπορεί να χρησιμοποιήθηκαν στην επίθεση αυτή.
Δείτε επίσης: Ρώσοι hackers έκλεψαν κυβερνητικά δεδομένα του Ηνωμένου Βασιλείου
Επιπλέον, οι hackers πραγματοποίησαν DLL search-order hijacking, για τη φόρτωση κακόβουλων αρχείων DLL όπως τα "datast.dll" και "VERSION.dll" μέσω της χρήσης νόμιμων εκτελέσιμων αρχείων. Αυτή η αλυσίδα επίθεσης προσπαθούσε να φορτώσει το Crowdoor loader. Κατά τη διάρκεια της επίθεσης, μπλοκαρίστηκε το πρώτο Crowdoor loader, με αποτέλεσμα οι Tropic Trooper hackers να μεταβούν σε μια νέα παραλλαγή που δεν είχε αναφερθεί προηγουμένως, με σχεδόν τον ίδιο αντίκτυπο.
Το Crowdoor έχει χρησιμοποιήσει και post-exploitation tools για να διευκολύνει το lateral movement και το Crowdoor payload μπόρεσε να διατηρήσει το persistence μέσω μιας υπηρεσίας Windows που ονομάζεται WinStore ή μέσω του HKCU\Software\Microsoft\Windows\CurrentVersion\Run registry key.
Στα πλαίσια των επιθέσεών τους, οι hackers Tropic Trooper έχουν εκμεταλλευτεί και τις ευπάθειες CVE-2021-34473, CVE-2021-34523 και CVE-2021-31207 στο Microsoft Exchange καθώς και την CVE-2023-26360 στο Adobe ColdFusion.
Δείτε επίσης: Οι hackers CloudSorcerer κλέβουν δεδομένα από ρωσικούς κυβερνητικούς οργανισμούς
Τα εργαλεία που χρησιμοποιήθηκαν γενικά σε αυτές τις επιθέσεις είναι τα Fscan, Swor, Neo-reGeorg και ByPassGodzilla.
Περισσότερες λεπτομέρειες, για τον τρόπο δράσης της ομάδας, μπορείτε να βρείτε στην έκθεση της Kaspersky.
Κυβερνητικές υπηρεσίες: Τρόποι προστασίας από κυβερνοεπιθέσεις
Για την καταπολέμηση των απειλών, συμπεριλαμβανομένων των επιθέσεων των hackers Tropic Trooper, οι κυβερνητικές υπηρεσίες πρέπει να διαθέτουν ισχυρά μέτρα κυβερνοασφάλειας. Αυτό περιλαμβάνει αυστηρούς ελέγχους πρόσβασης, τακτικές ενημερώσεις λογισμικού και ενημερώσεις κώδικα και συνεχή εκπαίδευση εργαζομένων σχετικά με τις βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο. Οι κυβερνητικές υπηρεσίες θα πρέπει, επίσης, να εφαρμόζουν κρυπτογραφημένα κανάλια επικοινωνίας και να περιορίζουν την πρόσβαση στα εσωτερικά δίκτυα μόνο σε εξουσιοδοτημένο προσωπικό.
Η δημιουργία και η διατήρηση αντιγράφων ασφαλείας (backups) είναι, επίσης, μια σημαντική στρατηγική για την αποκατάσταση δεδομένων σε περίπτωση κυβερνοεπίθεσης. Τα αντίγραφα ασφαλείας πρέπει να αποθηκεύονται σε ασφαλείς τοποθεσίες και να ελέγχονται τακτικά για την ακεραιότητά τους.
Εκτός από αυτά τα μέτρα ασφαλείας, είναι σημαντικό για τις κυβερνητικές υπηρεσίες να διαθέτουν ένα καλά ανεπτυγμένο σχέδιο αντιμετώπισης περιστατικών σε περίπτωση κυβερνοεπίθεσης. Αυτό περιλαμβάνει τον καθορισμό ατόμων ή ομάδων υπεύθυνων για την απόκριση και τον περιορισμό τυχόν περιστατικών ασφάλειας στον κυβερνοχώρο, καθώς και διαδικασίες για την ειδοποίηση των αρμόδιων αρχών.
Δείτε επίσης: Εκπαιδευτικός τομέας: Κυβερνοεπιθέσεις και τρόποι προστασίας
Επιπλέον, η συνεργασία μεταξύ κρατικών φορέων και οργανισμών του ιδιωτικού τομέα είναι ζωτικής σημασίας για τη διασφάλιση της ασφάλειας των κρατικών εγκαταστάσεων. Αυτό περιλαμβάνει την ανταλλαγή πληροφοριών σχετικά με τις απειλές, την από κοινού ανάπτυξη λύσεων για την ασφάλεια στον κυβερνοχώρο και τον συντονισμό απαντήσεων σε κυβερνοεπιθέσεις.
Πηγή: gbhackers.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Οι hackers Tropic Trooper στοχεύουν κυβερνητικές υπηρεσίες
https://www.secnews.gr/617183/hackers-tropic-trooper-stoxeuoun-kibernitikes-ipiresies/
Sep 6th 2024, 15:52
Οι hackers Tropic Trooper (γνωστοί και ως KeyBoy, Pirate Panda και APT23), οι οποίοι ασχολούνται με την κυβερνοκατασκοπεία από το 2011, στοχεύουν τώρα κυβερνητικές υπηρεσίες.
Αναλυτές κυβερνοασφάλειας στην Kaspersky Lab παρατήρησαν ότι η ομάδα APT στοχεύει γενικά κυβερνητικά ιδρύματα, στρατιωτικές υπηρεσίες, οργανισμούς υγειονομικής περίθαλψη, εταιρείες μεταφορών και εταιρείες τεχνολογίας στην Ταϊβάν, τις Φιλιππίνες και το Χονγκ Κονγκ.
Οι πιο πρόσφατες επιθέσεις σε κυβερνητική υπηρεσία στοχεύουν στην κλοπή ευαίσθητων δεδομένων.
Δείτε επίσης: Οι Ιρανοί hackers APT33 στοχεύουν κυβερνήσεις με το Tickler malware
Σύμφωνα με τους ερευνητές, οι κινεζόφωνοι hackers Tropic Trooper διεξάγουν μια περίπλοκη επίθεση κυβερνοκατασκοπείας εναντίον μιας κυβερνητικής υπηρεσίας στη Μέση Ανατολή. Η επιχείρηση ξεκίνησε τον Ιούνιο του 2023 αλλά έγινε αντιληπτή ένα χρόνο αργότερα. Η εταιρεία ασφαλείας εντόπισε μια παραλλαγή του China Chopper web shell σε public web server. Ο διακομιστής φιλοξενούσε ένα σύστημα διαχείρισης περιεχομένου ανοιχτού κώδικα (CMS) που ονομάζεται Umbraco. Το παρατηρούμενο web shell component ήταν ένα NET module του Umbraco CMS.
Μετέπειτα έρευνα στο δημόσιο διακομιστή οδήγησε στην εύρεση διαφόρων malware. Αυτά περιλαμβάνουν post-exploitation tools, τα οποία, πιστεύεται ότι μπορεί να χρησιμοποιήθηκαν στην επίθεση αυτή.
Δείτε επίσης: Ρώσοι hackers έκλεψαν κυβερνητικά δεδομένα του Ηνωμένου Βασιλείου
Επιπλέον, οι hackers πραγματοποίησαν DLL search-order hijacking, για τη φόρτωση κακόβουλων αρχείων DLL όπως τα "datast.dll" και "VERSION.dll" μέσω της χρήσης νόμιμων εκτελέσιμων αρχείων. Αυτή η αλυσίδα επίθεσης προσπαθούσε να φορτώσει το Crowdoor loader. Κατά τη διάρκεια της επίθεσης, μπλοκαρίστηκε το πρώτο Crowdoor loader, με αποτέλεσμα οι Tropic Trooper hackers να μεταβούν σε μια νέα παραλλαγή που δεν είχε αναφερθεί προηγουμένως, με σχεδόν τον ίδιο αντίκτυπο.
Το Crowdoor έχει χρησιμοποιήσει και post-exploitation tools για να διευκολύνει το lateral movement και το Crowdoor payload μπόρεσε να διατηρήσει το persistence μέσω μιας υπηρεσίας Windows που ονομάζεται WinStore ή μέσω του HKCU\Software\Microsoft\Windows\CurrentVersion\Run registry key.
Στα πλαίσια των επιθέσεών τους, οι hackers Tropic Trooper έχουν εκμεταλλευτεί και τις ευπάθειες CVE-2021-34473, CVE-2021-34523 και CVE-2021-31207 στο Microsoft Exchange καθώς και την CVE-2023-26360 στο Adobe ColdFusion.
Δείτε επίσης: Οι hackers CloudSorcerer κλέβουν δεδομένα από ρωσικούς κυβερνητικούς οργανισμούς
Τα εργαλεία που χρησιμοποιήθηκαν γενικά σε αυτές τις επιθέσεις είναι τα Fscan, Swor, Neo-reGeorg και ByPassGodzilla.
Περισσότερες λεπτομέρειες, για τον τρόπο δράσης της ομάδας, μπορείτε να βρείτε στην έκθεση της Kaspersky.
Κυβερνητικές υπηρεσίες: Τρόποι προστασίας από κυβερνοεπιθέσεις
Για την καταπολέμηση των απειλών, συμπεριλαμβανομένων των επιθέσεων των hackers Tropic Trooper, οι κυβερνητικές υπηρεσίες πρέπει να διαθέτουν ισχυρά μέτρα κυβερνοασφάλειας. Αυτό περιλαμβάνει αυστηρούς ελέγχους πρόσβασης, τακτικές ενημερώσεις λογισμικού και ενημερώσεις κώδικα και συνεχή εκπαίδευση εργαζομένων σχετικά με τις βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο. Οι κυβερνητικές υπηρεσίες θα πρέπει, επίσης, να εφαρμόζουν κρυπτογραφημένα κανάλια επικοινωνίας και να περιορίζουν την πρόσβαση στα εσωτερικά δίκτυα μόνο σε εξουσιοδοτημένο προσωπικό.
Η δημιουργία και η διατήρηση αντιγράφων ασφαλείας (backups) είναι, επίσης, μια σημαντική στρατηγική για την αποκατάσταση δεδομένων σε περίπτωση κυβερνοεπίθεσης. Τα αντίγραφα ασφαλείας πρέπει να αποθηκεύονται σε ασφαλείς τοποθεσίες και να ελέγχονται τακτικά για την ακεραιότητά τους.
Εκτός από αυτά τα μέτρα ασφαλείας, είναι σημαντικό για τις κυβερνητικές υπηρεσίες να διαθέτουν ένα καλά ανεπτυγμένο σχέδιο αντιμετώπισης περιστατικών σε περίπτωση κυβερνοεπίθεσης. Αυτό περιλαμβάνει τον καθορισμό ατόμων ή ομάδων υπεύθυνων για την απόκριση και τον περιορισμό τυχόν περιστατικών ασφάλειας στον κυβερνοχώρο, καθώς και διαδικασίες για την ειδοποίηση των αρμόδιων αρχών.
Δείτε επίσης: Εκπαιδευτικός τομέας: Κυβερνοεπιθέσεις και τρόποι προστασίας
Επιπλέον, η συνεργασία μεταξύ κρατικών φορέων και οργανισμών του ιδιωτικού τομέα είναι ζωτικής σημασίας για τη διασφάλιση της ασφάλειας των κρατικών εγκαταστάσεων. Αυτό περιλαμβάνει την ανταλλαγή πληροφοριών σχετικά με τις απειλές, την από κοινού ανάπτυξη λύσεων για την ασφάλεια στον κυβερνοχώρο και τον συντονισμό απαντήσεων σε κυβερνοεπιθέσεις.
Πηγή: gbhackers.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια