Versi baru dari pintu belakang yang terkait dengan kelompok ancaman yang terkait dengan Cina terlihat di dalam jaringan organisasi Eropa.
Para peneliti di NVISO, startup cybersecurity Belgia, mengidentifikasi varian berbasis Windows dari pintu belakang yang dikenal sebagai badai batu bata. Menurut Penelitian NVISO Diterbitkan pada 15 April, varian tersebut terkait dengan kampanye spionase cyber yang sudah berjalan lama yang terhubung dengan UNC5221, sebuah kelompok ancaman China-Nexus yang terhubung dengan aktivitas profil tinggi, termasuk Pelanggaran mitra tahun lalu.
Pintu belakang badai badai itu sebelumnya didokumentasikan Tahun lalu oleh peneliti Mandiant, yang mengamati malware di server Linux yang menjalankan VMware vCenter. NVISO melihat versi badai berbasis Windows dalam keterlibatan respons insiden baru-baru ini yang melibatkan organisasi Eropa dalam industri “yang memiliki minat strategis terhadap Republik Rakyat Tiongkok (RRC).”
Pintu belakang tersembunyi
Kemampuan Manajer File Brickstorm memungkinkan aktor UNC5221 untuk menelusuri sistem file, membuat dan menghapus file dan folder sewenang -wenang, dan melakukan Tunneling Jaringan untuk gerakan lateral. Terlepas dari penemuan baru varian Windows, NVISO mengatakan backdoor telah digunakan selama beberapa tahun.
“Berdasarkan sampel yang telah kami peroleh selama keterlibatan respons insiden kami, kami memang dapat mengkonfirmasi bahwa ini telah digunakan sejak setidaknya tahun 2022,” Michel Coene, direktur NVISO dari respons insiden, perburuan ancaman, dan intelijen ancaman, mengatakan kepada Dark Reading. “Mengingat bahwa biner malware ini sama sekali tidak diketahui dan tidak terdeteksi, ada kemungkinan bahwa penggunaan paling awal dari malware ini berasal dari lebih jauh. Kami, bagaimanapun, tidak memiliki bukti yang mendukung ini.”
Dan sementara Mandiant menemukan versi Linux terlebih dahulu, Coene mengatakan varian Windows secara signifikan lebih tua; Versi Linux kemungkinan merupakan evolusi dari sampel yang ditemukan NVISO.
“Ini lebih lanjut didukung oleh infrastruktur yang diidentifikasi, yang berumur berbulan -bulan untuk sampel Linux, sedangkan untuk versi Windows terbaru yang kami identifikasi, infrastruktur berasal dari tahun 2022, sampel yang lebih tua berpotensi mendahului ini,” kata Coene.
NVISO mengatakan perbedaan penting antara dua versi badai bata adalah bahwa versi Windows tidak memiliki kemampuan eksekusi perintah. Perusahaan mengatakan fungsionalitas itu kemungkinan dihilangkan dengan sengaja sebagai cara untuk menghindari deteksi oleh produk keamanan modern.
“Sebaliknya, musuh telah diamati menggunakan kemampuan tunneling jaringan dalam kombinasi dengan kredensial yang valid untuk menyalahgunakan protokol terkenal seperti RDP atau SMB, sehingga mencapai eksekusi perintah yang sama,” tulis NVISO dalam laporan tersebut.
Teknik penghindaran yang efektif
Selain itu, varian badai bata berbasis Windows dirancang untuk menghindari pertahanan tingkat jaringan seperti pemantauan DNS, inspeksi TLS, dan geo-blocking. Meskipun jaringan tunneling bukanlah teknik baru, backdoors menunjukkan bahwa itu bisa sangat sukses di tangan aktor ancaman yang terampil.
“Meskipun manajer file Brickstorm dan fungsi tunneling jaringan dapat dianggap dasar, efektivitasnya tetap tidak diragukan lagi,” kata NVISO. “Penemuan baru-baru ini dari kemampuan musuh beberapa tahun ini, di samping bukti pemeliharaan infrastruktur, menyoroti perlunya industri yang berisiko untuk meningkatkan postur keamanan mereka dan terus-menerus mengaudit lingkungan mereka untuk aktivitas langka/ tidak umum.”
UNC5221 juga bergantung pada infrastruktur cloud yang sah dan populer untuk infrastruktur komando dan kontrol (C&C), yang membantu aktivitas badai badai berbaur dengan lalu lintas yang sah dan jinak dan membuatnya lebih sulit bagi analis ancaman untuk menganalisis dan mengaitkan kegiatan tersebut. Backdoors memutuskan untuk server C&C melalui DNS melalui HTTPS (DOH), yang menurut NVISO menghambat sebagian besar produk pemantauan jaringan.
Sementara Brickstorm dapat beroperasi tanpa DOH, NVISO merekomendasikan agar organisasi memblokir penyedia DOH di seluruh jaringan mereka. Perusahaan juga mendorong organisasi untuk meninjau inspeksi TLS mereka untuk memastikan hal itu mendeteksi atau memblokir sesi TLS bersarang.
_Vladimir_Stanisic_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=300&resize=300,300&ssl=1 "Risiko menggunakan model AI yang dikembangkan oleh negara -negara yang bersaing")
![[Virtual Event] Anatomi pelanggaran data: dan apa yang harus dilakukan jika itu terjadi pada Anda](https://i0.wp.com/www.darkreading.com/assets/darkreading-C928X8LZ.ico?w=300&resize=300,300&ssl=1 "[Virtual Event] Anatomi pelanggaran data: dan apa yang harus dilakukan jika itu terjadi pada Anda")