中国网络攻击集团青铜联盟针对武器技术
据研究人员称,网络攻击组青铜联盟试图窃取关于尖端武器技术的数据以及对持有党人和其他平民群体的数据库。
本集团 - 亦称派威熊猫,幸运和27岁 - 据信主要在中国,侧重于根据2013年以来一直跟踪本集团的禁区威胁单位的研究人员收集政治和军事情报。
根据本集团的间谍工具的报告,青铜联盟网络的分析揭示了广泛的目标,一系列能力,灵活的策略和持续重点。
自2016年以来,SecureWorks分析师观察了铜绿语,针对来自政治,技术,制造和人道主义组织的各种数据。
2017年和2018年,威胁行动者使用了广泛的工具和入侵方法,以实现他们的目标,研究人员表示为前线网络防守者和事件响应者创造了挑战。
2018年,研究人员发现了证据表明青铜联盟正在使用多年来一直公开使用的攻击工具的更新变体。例如,本集团使用2006年开发的ZXShell远程访问特洛伊木马(RAT)的更新版本,其中源代码于2007年公开。
“虽然各种威胁演员创造了大鼠的不同变化,但青铜联盟在2018年使用的版本包含一些以前未观察到的属性,表明威胁小组的能力继续发展,”报告称,更新的恶意软件嵌入了井 - 已知的HTRAN数据包重定向工具和恶意软件与数字证书签名。
除公开可用的工具外,铜牌工会还自2016年以来使用了专有的远程访问工具,如Sysupdate和Hyperbro。尽管自行开发的工具通常受益于较低的检测率而不是公开的工具,但报告称,在确保一致的网络访问之后,威胁演员似乎更加谨慎地使用自己的工具。
报告称,Sysupdate是一款专门用于青铜联盟的多级恶意软件。它已由多种方法提供,包括使用动态数据交换(DDE)嵌入命令方法的恶意单词文档。
研究人员表示,它是灵活的恶意软件,因为通过提供新的纸张文件,可以轻易引入和撤销功能,并且通过在不使用时撤销有效载荷,如果检测到恶意活动,运营商可以限制其完整功能的曝光。
该报告称,威胁演员擅长避免共同的安全控制并升级其特权,通常使用本土的服务,工具和凭据,该生存环境被称为居住在土地上。
在获取网络访问后,研究人员表示,威胁演员在长时间维持对高价值系统的访问,通常每三个月返回受损网络以验证他们对现有Web Shell的访问,刷新他们的访问权限凭据,并且在某些情况下重新访问感兴趣的数据。
研究人员注意到,选择三个月的维护计划可能是一种尝试与许多组织更改密码的频率对齐。
本集团的另一个常见做法是使用被盗凭据来访问业务电子邮件帐户,并在显着的角色中搜索特定的关键字和inpiduals。青铜联盟还使用电子邮件访问来下载电子邮件附件和数据,并登录受害者即时信使服务。
研究人员称,青铜联盟是他们已经跟踪的最多增长的目标威胁群体之一,注意到威胁组的复杂程度和适应性极为罕见。
他们说,这是通过本集团从技术和制造公司瞄准防御数据的能力,并与人道主义组织的政治数据相连的能力。
研究人员表示,他们的分析表明威胁演员使用宽松的操作流程和工作流程,但熟悉各种工具和方法。研究人员表示,这种灵活性使他们能够克服入侵过程中的障碍和挑战。
研究人员表示,任何可能由青铜联盟瞄准的组织应该实施防御威胁小组的策略,技术和程序的安全控制和风险管理策略。
他们还建议高风险组织实施检测异常行为的网络和端点安全技术,而不是依赖于鉴于威胁组的灵活性以及其攻击方法的高度变化率的灵活性检测已知的恶意软件或攻击者基础架构。