Οι Κινέζοι hackers Earth Alux χρησιμοποιούν τα VARGEIT & COBEACON backdoor
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Οι Κινέζοι hackers Earth Alux χρησιμοποιούν τα VARGEIT & COBEACON backdoor
https://www.secnews.gr/645021/kinezoi-hackers-earth-alux-xrisimopoioun-vargeit-cobeacon-backdoor/
Apr 1st 2025, 17:13
by Digital Fortress
Ερευνητές ασφαλείας δημοσίευσαν μια αναφορά για τους Κινέζους hackers Earth Alux, οι οποίοι έχουν στοχεύσει διάφορους βασικούς τομείς όπως οι κυβερνήσεις, η τεχνολογία, τα logistics, οι τηλεπικοινωνίες, οι υπηρεσίες πληροφορικής και το λιανικό εμπόριο. Ένας από τους βασικούς στόχους της ομάδας είναι να μολύνουν συστήματα με τα VARGEIT και COBEACON backdoor.
Η δραστηριότητα εντοπίστηκε για πρώτη φορά το δεύτερο τρίμηνο του 2023 και τα θύματα βρίσκονταν κυρίως στην περιοχή APAC, σύμφωνα με τους ερευνητές της Trend Micro, Lenart Bermejo, Ted Lee και Theo Chen. Γύρω στα μέσα του 2024 εντοπίστηκαν επιθέσεις και στη Λατινική Αμερική.
Οι πρωταρχικοί στόχοι των Κινέζων hackers βρίσκονται σε χώρες όπως η Ταϊλάνδη, οι Φιλιππίνες, η Μαλαισία, η Ταϊβάν και η Βραζιλία.
Δείτε επίσης: Οι Κινέζοι hackers MirrorFace στοχεύουν θύματα με τα ANEL και AsyncRAT
Η μόλυνση ξεκινά με την εκμετάλλευση ευάλωτων υπηρεσιών σε web applications που εκτίθενται στο Διαδίκτυο. Τις χρησιμοποιούν για την εγκατάσταση του Godzilla web shell, για τη διευκόλυνση της ανάπτυξης πρόσθετων payloads, συμπεριλαμβανομένων των backdoors VARGEIT και COBEACON (γνωστό και ως Cobalt Strike Beacon).
Το VARGEIT επιτρέπει τη φόρτωση εργαλείων απευθείας από τον διακομιστή εντολών και ελέγχου (C&C) του σε ένα νέο spawned process του Microsoft Paint ("mspaint.exe"). Αυτό διευκολύνει το reconnaissance, τη συλλογή και την εξαγωγή δεδομένων.
"Το VARGEIT είναι επίσης η κύρια μέθοδος μέσω της οποίας οι hackers Earth Alux χρησιμοποιούν συμπληρωματικά εργαλεία για διάφορες εργασίες, όπως το lateral movement και το network discovery με έναν fileless τρόπο", είπαν οι ερευνητές.
Αξίζει να σημειωθεί ότι ενώ το VARGEIT χρησιμοποιείται ως first, second ή later-stage backdoor, το COBEACON χρησιμοποιείται ως backdoor πρώτου σταδίου. Εκκινείται μέσω ενός loader που ονομάζεται MASQLOADER ή μέσω του RSBINJECT, ενός Rust-based command-line shellcode loader.
Η εκτέλεση του VARGEIT έχει ως αποτέλεσμα την ανάπτυξη περισσότερων εργαλείων, συμπεριλαμβανομένου ενός loader component με την κωδική ονομασία RAILLOAD που εκτελείται μέσω της τεχνικής DLL side-loading και χρησιμοποιείται για την εκτέλεση ενός κρυπτογραφημένου payload που βρίσκεται σε διαφορετικό φάκελο.
Δείτε επίσης: Κινέζοι hackers στοχεύουν routers της Juniper Networks
Το δεύτερο payload είναι μια λειτουργική μονάδα με το όνομα RAILSETTER, που φροντίζει για το persistence και το timestomping. Αλλάζει τις χρονικές σημάνσεις που σχετίζονται με τα RAILLOAD artifacts στον παραβιασμένο υπολογιστή και δημιουργεί ένα scheduled task για την εκκίνηση του RAILLOAD.
Η πιο χαρακτηριστική πτυχή του VARGEIT είναι η ικανότητά του να υποστηρίζει 10 διαφορετικά κανάλια για επικοινωνίες C&C μέσω HTTP, TCP, UDP, ICMP, DNS και Microsoft Outlook.
Μεταξύ των σημαντικών του λειτουργιών βρίσκονται η εκτεταμένη συλλογή δεδομένων και η εκτέλεση εντολών.
Οι Κινέζοι hackers Earth Alux χρησιμοποιούν τα VARGEIT & COBEACON backdoor
"Οι hackers Earth Alux πραγματοποιούν αρκετές δοκιμές με το RAILLOAD και το RAILSETTER", δήλωσε η Trend Micro. "Αυτές περιλαμβάνουν δοκιμές ανίχνευσης και προσπάθειες εύρεσης νέων κεντρικών υπολογιστών για DLL side-loading. Οι δοκιμές DLL side-loading περιλαμβάνουν το ZeroEye, ένα εργαλείο ανοιχτού κώδικα, δημοφιλές στην κινεζόφωνη κοινότητα, για τη σάρωση import tables αρχείων EXE για εισαγόμενα DLL που μπορούν να χρησιμοποιηθούν για side-loading".
Η ομάδα hacking χρησιμοποιεί, επίσης, το VirTest, ένα άλλο testing tool, για να διασφαλίσει ότι τα εργαλεία της είναι αρκετά μυστικά και να διατηρήσει μακροπρόθεσμη πρόσβαση σε περιβάλλοντα στόχους.
Δείτε επίσης: Οι Κινέζοι hackers Mustang Panda καταχρώνται το MAVInject.exe
Οι Κινέζοι hackers αποτελούν σημαντική απειλή για οργανισμούς και κυβερνήσεις σε όλο τον κόσμο με τις εξαιρετικά προσαρμοστικές τεχνικές τους και τη χρήση προηγμένων εργαλείων. Για την προστασία από αυτές τις επιθέσεις, είναι σημαντικό για τους οργανισμούς να ενημερώνουν τακτικά τα συστήματά τους, να εφαρμόζουν ισχυρά μέτρα κυβερνοασφάλειας και να εκπαιδεύουν τους υπαλλήλους σχετικά με τις βέλτιστες πρακτικές ασφαλείας.
Επιπλέον, οι κυβερνήσεις πρέπει να λάβουν μέτρα για την ενίσχυση της άμυνας στον κυβερνοχώρο και να συνεργαστούν με άλλα έθνη για την καταπολέμηση αυτής της αυξανόμενης απειλής. Είναι ζωτικής σημασίας να παραμείνουμε σε επαγρύπνηση για να αποτρέψουμε επιθέσεις των Κινέζων hackers και να προστατεύσουμε τις ευαίσθητες πληροφορίες μας.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Οι Κινέζοι hackers Earth Alux χρησιμοποιούν τα VARGEIT & COBEACON backdoor
https://www.secnews.gr/645021/kinezoi-hackers-earth-alux-xrisimopoioun-vargeit-cobeacon-backdoor/
Apr 1st 2025, 17:13
by Digital Fortress
Ερευνητές ασφαλείας δημοσίευσαν μια αναφορά για τους Κινέζους hackers Earth Alux, οι οποίοι έχουν στοχεύσει διάφορους βασικούς τομείς όπως οι κυβερνήσεις, η τεχνολογία, τα logistics, οι τηλεπικοινωνίες, οι υπηρεσίες πληροφορικής και το λιανικό εμπόριο. Ένας από τους βασικούς στόχους της ομάδας είναι να μολύνουν συστήματα με τα VARGEIT και COBEACON backdoor.
Η δραστηριότητα εντοπίστηκε για πρώτη φορά το δεύτερο τρίμηνο του 2023 και τα θύματα βρίσκονταν κυρίως στην περιοχή APAC, σύμφωνα με τους ερευνητές της Trend Micro, Lenart Bermejo, Ted Lee και Theo Chen. Γύρω στα μέσα του 2024 εντοπίστηκαν επιθέσεις και στη Λατινική Αμερική.
Οι πρωταρχικοί στόχοι των Κινέζων hackers βρίσκονται σε χώρες όπως η Ταϊλάνδη, οι Φιλιππίνες, η Μαλαισία, η Ταϊβάν και η Βραζιλία.
Δείτε επίσης: Οι Κινέζοι hackers MirrorFace στοχεύουν θύματα με τα ANEL και AsyncRAT
Η μόλυνση ξεκινά με την εκμετάλλευση ευάλωτων υπηρεσιών σε web applications που εκτίθενται στο Διαδίκτυο. Τις χρησιμοποιούν για την εγκατάσταση του Godzilla web shell, για τη διευκόλυνση της ανάπτυξης πρόσθετων payloads, συμπεριλαμβανομένων των backdoors VARGEIT και COBEACON (γνωστό και ως Cobalt Strike Beacon).
Το VARGEIT επιτρέπει τη φόρτωση εργαλείων απευθείας από τον διακομιστή εντολών και ελέγχου (C&C) του σε ένα νέο spawned process του Microsoft Paint ("mspaint.exe"). Αυτό διευκολύνει το reconnaissance, τη συλλογή και την εξαγωγή δεδομένων.
"Το VARGEIT είναι επίσης η κύρια μέθοδος μέσω της οποίας οι hackers Earth Alux χρησιμοποιούν συμπληρωματικά εργαλεία για διάφορες εργασίες, όπως το lateral movement και το network discovery με έναν fileless τρόπο", είπαν οι ερευνητές.
Αξίζει να σημειωθεί ότι ενώ το VARGEIT χρησιμοποιείται ως first, second ή later-stage backdoor, το COBEACON χρησιμοποιείται ως backdoor πρώτου σταδίου. Εκκινείται μέσω ενός loader που ονομάζεται MASQLOADER ή μέσω του RSBINJECT, ενός Rust-based command-line shellcode loader.
Η εκτέλεση του VARGEIT έχει ως αποτέλεσμα την ανάπτυξη περισσότερων εργαλείων, συμπεριλαμβανομένου ενός loader component με την κωδική ονομασία RAILLOAD που εκτελείται μέσω της τεχνικής DLL side-loading και χρησιμοποιείται για την εκτέλεση ενός κρυπτογραφημένου payload που βρίσκεται σε διαφορετικό φάκελο.
Δείτε επίσης: Κινέζοι hackers στοχεύουν routers της Juniper Networks
Το δεύτερο payload είναι μια λειτουργική μονάδα με το όνομα RAILSETTER, που φροντίζει για το persistence και το timestomping. Αλλάζει τις χρονικές σημάνσεις που σχετίζονται με τα RAILLOAD artifacts στον παραβιασμένο υπολογιστή και δημιουργεί ένα scheduled task για την εκκίνηση του RAILLOAD.
Η πιο χαρακτηριστική πτυχή του VARGEIT είναι η ικανότητά του να υποστηρίζει 10 διαφορετικά κανάλια για επικοινωνίες C&C μέσω HTTP, TCP, UDP, ICMP, DNS και Microsoft Outlook.
Μεταξύ των σημαντικών του λειτουργιών βρίσκονται η εκτεταμένη συλλογή δεδομένων και η εκτέλεση εντολών.
Οι Κινέζοι hackers Earth Alux χρησιμοποιούν τα VARGEIT & COBEACON backdoor
"Οι hackers Earth Alux πραγματοποιούν αρκετές δοκιμές με το RAILLOAD και το RAILSETTER", δήλωσε η Trend Micro. "Αυτές περιλαμβάνουν δοκιμές ανίχνευσης και προσπάθειες εύρεσης νέων κεντρικών υπολογιστών για DLL side-loading. Οι δοκιμές DLL side-loading περιλαμβάνουν το ZeroEye, ένα εργαλείο ανοιχτού κώδικα, δημοφιλές στην κινεζόφωνη κοινότητα, για τη σάρωση import tables αρχείων EXE για εισαγόμενα DLL που μπορούν να χρησιμοποιηθούν για side-loading".
Η ομάδα hacking χρησιμοποιεί, επίσης, το VirTest, ένα άλλο testing tool, για να διασφαλίσει ότι τα εργαλεία της είναι αρκετά μυστικά και να διατηρήσει μακροπρόθεσμη πρόσβαση σε περιβάλλοντα στόχους.
Δείτε επίσης: Οι Κινέζοι hackers Mustang Panda καταχρώνται το MAVInject.exe
Οι Κινέζοι hackers αποτελούν σημαντική απειλή για οργανισμούς και κυβερνήσεις σε όλο τον κόσμο με τις εξαιρετικά προσαρμοστικές τεχνικές τους και τη χρήση προηγμένων εργαλείων. Για την προστασία από αυτές τις επιθέσεις, είναι σημαντικό για τους οργανισμούς να ενημερώνουν τακτικά τα συστήματά τους, να εφαρμόζουν ισχυρά μέτρα κυβερνοασφάλειας και να εκπαιδεύουν τους υπαλλήλους σχετικά με τις βέλτιστες πρακτικές ασφαλείας.
Επιπλέον, οι κυβερνήσεις πρέπει να λάβουν μέτρα για την ενίσχυση της άμυνας στον κυβερνοχώρο και να συνεργαστούν με άλλα έθνη για την καταπολέμηση αυτής της αυξανόμενης απειλής. Είναι ζωτικής σημασίας να παραμείνουμε σε επαγρύπνηση για να αποτρέψουμε επιθέσεις των Κινέζων hackers και να προστατεύσουμε τις ευαίσθητες πληροφορίες μας.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια