Một nhóm đe dọa dai dẳng nâng cao của Trung Quốc (APT) đã nhắm vào các tổ chức tài chính Đài Loan như một phần của “chiến dịch dai dẳng” kéo dài ít nhất 18 tháng.
Symantec thuộc sở hữu của Broadcom cho biết trong một báo cáo được công bố vào tuần trước, các cuộc xâm nhập với mục đích chính là gián điệp, dẫn đến việc triển khai một cửa hậu có tên là xPack, cấp cho đối thủ quyền kiểm soát rộng rãi đối với các máy bị xâm nhập, Symantec thuộc sở hữu của Broadcom cho biết.
Điều đáng chú ý về chiến dịch này là khoảng thời gian mà kẻ đe dọa ẩn nấp trên mạng nạn nhân, tạo điều kiện cho các nhà khai thác có nhiều cơ hội để trinh sát chi tiết và thu thập thông tin nhạy cảm tiềm ẩn liên quan đến các liên hệ kinh doanh và đầu tư mà không phải nêu ra bất kỳ dấu hiệu đỏ nào.
Tại một trong những tổ chức tài chính giấu tên, những kẻ tấn công đã dành gần 250 ngày từ tháng 12 năm 2020 đến tháng 8 năm 2021, trong khi một thực thể sản xuất có mạng lưới của họ dưới sự giám sát của họ trong khoảng 175 ngày.
Mặc dù vectơ truy cập ban đầu được sử dụng để vi phạm các mục tiêu vẫn chưa rõ ràng, nhưng người ta nghi ngờ rằng Antlion đã tận dụng một lỗ hổng ứng dụng web để đạt được chỗ đứng và loại bỏ cửa hậu tùy chỉnh xPack, được sử dụng để thực hiện các lệnh hệ thống, loại bỏ phần mềm độc hại và công cụ tiếp theo và giai đoạn dữ liệu để lọc.
Ngoài ra, kẻ đe dọa đã sử dụng bộ tải tùy chỉnh dựa trên C ++ cũng như sự kết hợp của các công cụ hợp pháp như AnyDesk và kỹ thuật live-off-the-land (LotL) để có được quyền truy cập từ xa, kết xuất thông tin đăng nhập và thực thi tùy ý các lệnh.
Các nhà nghiên cứu cho biết: “Antlion được cho là đã tham gia vào các hoạt động gián điệp ít nhất từ năm 2011, và hoạt động gần đây này cho thấy rằng nó vẫn là một tác nhân cần được biết đến trong hơn 10 năm sau khi nó xuất hiện lần đầu tiên”.
Các phát hiện bổ sung vào danh sách ngày càng tăng các nhóm quốc gia-nhà nước có liên hệ với Trung Quốc đã nhắm mục tiêu vào Đài Loan trong những tháng gần đây, với các hoạt động mạng độc hại được gắn kết bởi các tác nhân đe dọa được theo dõi như Tropic Trooper và Earth Lusca tấn công chính phủ, cơ sở y tế, giao thông vận tải và giáo dục ở Quốc gia.
.
