Un grup avansat de amenințări legat de China numit Weaver Ant a petrecut mai mult de patru ani în rețeaua unui furnizor de servicii de telecomunicații, ascunzând traficul și infrastructura cu ajutorul routerelor Zyxel CPE compromise.
Cercetătorii care investighează intruziunea au descoperit mai multe variante ale backdoor-ului China Chopper și un web-shell personalizat anterior nedocumentat numit ‘INMemory’ care execută sarcini în memoria gazdei.
Actorul amenințării a vizat un important furnizor asiatic de telecomunicații și s-a dovedit a fi rezistent la multiple încercări de eradicare, potrivit cercetătorilor de la compania de tehnologie și servicii cibernetice Sygnia.
Intruziunile Weaver Ant au folosit o rețea de cutii de releu operaționale (ORB) realizate în principal din routere Zyxel CPE pentru a proxia traficul și a ascunde infrastructura.
Actorul amenințării a stabilit un punct de sprijin în rețea folosind o variantă a backdoor-ului China Chopper criptată AES, care a permis controlul la distanță al serverelor evitând restricțiile firewall-ului.
Pe măsură ce operațiunea a evoluat, Weaver Ant a introdus un shell web personalizat mai avansat, cunoscut sub numele de INMemory, care folosește un DLL (eval.dll) pentru ‘execuție de cod just-in-time’ discretă.
Metodele de exfiltrare a datelor folosite în atacuri au fost selectate pentru a ridica cât mai puțin alarma posibil, inclusiv capturarea pasivă a traficului de rețea prin oglindirea portului, spun cercetătorii Sygnia într-un raport azi.
În loc să implementeze shell-uri web în izolare, Weaver Ant le-a conectat într-o tehnică numită ‘tunelare a shell-urilor web,’ anterior pionierată de actorul amenințării cu motivație financiară ‘Elephant Beetle.’
Această tehnică dirijează traficul de la un server la altul pe segmente de rețea distincte, creând practic o rețea de control și comandă (C2) furtivă în interiorul infrastructurii victimei.
Fiecare shell acționează ca un proxy, trecând sarcini înglobate și criptate către altele pentru execuție etapizată mai adânc în rețea.
„Tunelarea shell-urilor web este o metodă care folosește mai multe shell-uri web ca ‘servere proxy’ pentru a redirecționa traficul HTTP de intrare către un alt shell web pe un alt gazdă pentru execuție de sarcini,” explică Sygnia în raportul tehnic.
Datorită acestui fapt, Weaver Ant putea „opera pe servere din diferite segmente de rețea.” Acestea erau în principal servere interne fără conexiune la internet și accesate prin servere accesibile peste web care acționau ca porți operaționale.
Concluziile Sygnia arată că Weaver Ant s-a deplasat lateral folosind partajări SMB și conturi cu privilegii ridicate care aveau aceeași parolă ani de zile, adesea autentificate prin hash-uri NTLM.
Datele colectate pe parcursul a mai mult de patru ani de acces la rețeaua victimei includ fișiere de configurare, jurnale de acces și date de identificare pentru a cartografia mediul și a viza sisteme valoroase.
De asemenea, au dezactivat mecanismele de înregistrare cum ar fi patch-uri ETW (Event Tracing for Windows) și bypass-uri AMSI (suprascriind funcția ‘AmsiScanBuffer’ în modulul ‘amsi.dll’) pentru a păstra o amprentă mai mică și a rămâne nedetectați pentru o perioadă mai lungă.
Weaver Ant se dovedește a fi un actor calificat susținut de stat capabil să obțină acces pe termen lung în rețeaua victimei pentru operațiuni de spionaj cibernetic.
Sygnia spune că atribuirea sa se bazează pe utilizarea modelelor de routere Zyxel populare în anumite regiuni geografice, utilizarea backdoor-urilor anterior legate de grupurile de amenințări chineze și operațiunea Weaver Ant în timpul orelor de program GMT +8.
Actorul amenințării pare să fie mai concentrat pe informații de rețea, colectarea de date de identificare și acces continuu la infrastructura de telecomunicații decât pe furtul datelor utilizatorilor sau a înregistrărilor financiare, ceea ce este în concordanță cu obiectivele de spionaj susținute de stat.
Pentru a te apăra împotriva acestei amenințări avansate, se recomandă aplicarea unor controale interne de trafic de rețea, activarea înregistrării complete IIS și PowerShell, aplicarea principiilor de cel mai mic privilegiu și rotirea frecventă a acreditărilor utilizatorilor.
De asemenea, reutilizarea shell-urilor web cunoscute oferă apărătorilor oportunitatea de a detecta activitatea dăunătoare devreme folosind instrumente de detecție statică și semnături cunoscute.
Leave a Reply