Ngày 18 tháng 1 năm 2023Ravie Lakshmanan Gián điệp mạng / Rủi ro mạng
Diễn viên đe dọa được gọi là Ngoại Giao Cửa Sau đã được liên kết với một làn sóng tấn công mới nhắm vào các cơ quan chính phủ Iran từ tháng 7 đến cuối tháng 12 năm 2022.
Đơn vị 42 của Palo Alto Networks, đang theo dõi hoạt động dưới biệt danh theo chủ đề chòm sao của nó Kim Ngưu tinh nghịchcho biết họ đã quan sát thấy các miền của chính phủ đang cố gắng kết nối với cơ sở hạ tầng phần mềm độc hại trước đây được xác định là có liên quan đến kẻ thù.
Còn được biết đến với các tên APT15, KeChang, NICKEL và Vixen Panda, nhóm APT Trung Quốc có lịch sử thực hiện các chiến dịch gián điệp mạng nhằm vào chính phủ và các tổ chức ngoại giao trên khắp Bắc Mỹ, Nam Mỹ, Châu Phi và Trung Đông ít nhất là từ năm 2010.
Công ty an ninh mạng ESET của Slovakia, vào tháng 6 năm 2021, đã giải nén các vụ xâm nhập do nhóm tin tặc thực hiện nhằm vào các tổ chức ngoại giao và công ty viễn thông ở Châu Phi và Trung Đông bằng cách sử dụng một bộ cấy tùy chỉnh có tên là Turian.
Sau đó vào tháng 12 năm 2021, Microsoft đã thông báo về việc thu giữ 42 miền do nhóm này điều hành trong các cuộc tấn công nhắm vào 29 quốc gia, đồng thời chỉ ra việc nhóm này sử dụng các khai thác đối với các hệ thống chưa được vá lỗi để xâm phạm các ứng dụng web kết nối Internet như Microsoft Exchange và SharePoint.
Tác nhân đe dọa gần đây nhất được quy cho một cuộc tấn công vào một công ty viễn thông giấu tên ở Trung Đông bằng cách sử dụng Quarian, tiền thân của Turian cho phép một điểm truy cập từ xa vào các mạng được nhắm mục tiêu.
Turian “vẫn đang được phát triển tích cực và chúng tôi đánh giá rằng nó chỉ được sử dụng bởi các diễn viên Playful Taurus”, Đơn vị 42 cho biết trong một báo cáo được chia sẻ với The Hacker News, đồng thời cho biết thêm họ đã phát hiện ra các biến thể mới của cửa hậu được sử dụng trong các cuộc tấn công nhắm vào Iran.
Công ty an ninh mạng lưu ý thêm rằng họ đã quan sát thấy bốn tổ chức khác nhau của Iran, bao gồm Bộ Ngoại giao và Tổ chức Tài nguyên thiên nhiên, tiếp cận với một máy chủ chỉ huy và kiểm soát (C2) đã biết được cho là của nhóm.
“Tính chất bền vững hàng ngày của các kết nối này với cơ sở hạ tầng do Playful Taurus kiểm soát cho thấy khả năng các mạng này bị xâm nhập,” nó nói.
Các phiên bản mới của cửa hậu Turian có thêm khả năng che giấu cũng như thuật toán giải mã cập nhật được sử dụng để trích xuất các máy chủ C2. Tuy nhiên, bản thân phần mềm độc hại này chung chung ở chỗ nó cung cấp các chức năng cơ bản để cập nhật máy chủ C2 để kết nối, thực thi các lệnh và sinh ra các trình bao đảo ngược.
Mối quan tâm của BackdoorNgoại giao trong việc nhắm mục tiêu vào Iran được cho là có sự mở rộng về địa chính trị vì nó đi ngược lại với bối cảnh của một thỏa thuận hợp tác toàn diện kéo dài 25 năm được ký kết giữa Trung Quốc và Iran nhằm thúc đẩy hợp tác kinh tế, quân sự và an ninh.
Các nhà nghiên cứu cho biết: “Những Kim Ngưu vui tươi tiếp tục phát triển các chiến thuật và công cụ của họ. “Những nâng cấp gần đây đối với cửa hậu Turian và cơ sở hạ tầng C2 mới cho thấy những tác nhân này tiếp tục đạt được thành công trong các chiến dịch gián điệp mạng của họ.”
