Forskere har avdekket ny skadevare som brukes av en kinesisk cyberspionasjegruppe for å opprettholde tilgang til kompromitterte nettverk.
Kampanjen involverte flere tidligere ukjente verktøy som hjalp angriperne med å forbli aktive etter det første innbruddet. Etterforskere opplyser at skadevaren var utviklet for å støtte langsiktig etterretningsinnsamling, slik at operatørene kunne bevege seg gjennom kompromitterte miljøer samtidig som risikoen for å bli oppdaget ble redusert.
Oppdagelsen gir ny innsikt i hvordan statsstøttede trusselaktører fortsetter å utvide arsenalet sitt for å angripe bedrifts- og skyinfrastruktur.
Forskere oppdager nye persistensverktøy
Sikkerhetsforskere knyttet aktiviteten til UNC5221, en trusselgruppe som forbindes med kinesiske cyberspionasjeoperasjoner.
Under etterforskningen identifiserte forskerne to tidligere ukjente skadevarefamilier, Plenet og AgentPSD, sammen med bakdøren Brickstorm. Verktøyene ble distribuert etter at angriperne hadde fått tilgang til offermiljøene, og ser ut til å ha vært utviklet for å etablere et varig fotfeste.
I motsetning til ransomware-angrep som søker umiddelbar økonomisk gevinst, prioriterer spionasjekampanjer ofte skjult aktivitet. Angripere kan forbli inne i nettverk i flere måneder mens de samler inn sensitiv informasjon og overvåker aktivitet.
Den nyoppdagede skadevaren støtter dette målet ved å hjelpe operatørene med å bevare tilgang og administrere kompromitterte systemer.
Skytjenester forblir et viktig mål
Forskerne observerte at trusselaktørene opererte i Microsoft 365-miljøer, noe som understreker den økende betydningen av skyplattformer i moderne cyberspionasjekampanjer.
Skytjenester lagrer store mengder forretningskommunikasjon, dokumenter og autentiseringsdata. Vellykket tilgang kan gi verdifull etterretning samtidig som angriperne får mulighet til å bevege seg mellom tilknyttede systemer.
Etter hvert som organisasjoner fortsetter å flytte arbeidsbelastninger til skymiljøer, tilpasser trusselgrupper i stadig større grad verktøyene sine for å operere utenfor tradisjonelle bedriftsnettverk.
Kampanjen viser at skyinfrastruktur nå utgjør en sentral slagmark for avanserte trusselaktører.
Skadevare utviklet for å unngå oppdagelse
Angriperne brukte flere ulike verktøy i stedet for å stole på én enkelt bakdør.
Denne lagdelte tilnærmingen øker motstandsdyktigheten under et innbrudd. Dersom forsvarere identifiserer og fjerner én komponent, kan angriperne fortsatt beholde tilgang gjennom en annen mekanisme som allerede er installert i miljøet.
Forskerne påpekte at skadevaren støttet kommando- og kontrollkommunikasjon samt pågående operasjoner i kompromitterte systemer. Disse funksjonene gjør det mulig for spionasjegrupper å opprettholde innsikt i målnettverk uten å forårsake forstyrrelser som kan vekke oppmerksomhet.
Slike metoder har blitt stadig vanligere blant sofistikerte statsstøttede aktører.
Organisasjoner står overfor vedvarende spionasjetrusler
Funnene understreker den vedvarende trusselen fra avanserte cyberspionasjegrupper.
Organisasjoner bør overvåke autentiseringsaktivitet nøye, gjennomgå tilgangen til privilegerte kontoer og opprettholde god synlighet på tvers av både lokale og skybaserte miljøer. Sikkerhetsteam bør også undersøke uvanlige persistensmekanismer som kan indikere uautorisert tilgang.
Ettersom trusselaktører fortsetter å utvikle skreddersydd skadevare, møter forsvarere stadig større utfordringer med å identifisere og fjerne sofistikerte inntrengninger før sensitiv informasjon blir eksponert.
Konklusjon
Den kinesiske APT-kampanjen viser hvordan moderne spionasjegrupper prioriterer utholdenhet og skjult aktivitet fremfor umiddelbar forstyrrelse. Ved å bruke flere skadevarefamilier og rette seg mot både bedriftsnettverk og skymiljøer kan angripere opprettholde tilgang over lange perioder samtidig som de samler inn verdifull etterretning.
Oppdagelsen er enda en påminnelse om at avanserte trusselaktører fortsetter å utvikle metodene sine, noe som gjør proaktiv overvåking og sterke sikkerhetskontroller avgjørende for organisasjoner over hele verden.
0 responses to “Kinesisk APT-skadevare bruker nye verktøy for å opprettholde nettverkstilgang”