HackerNews 编译,转载请注明出处:
东南亚电信组织近期遭国家级威胁组织CL-STA-0969定向攻击,该组织通过部署定制化工具实现对目标网络的远程控制。Palo Alto Networks旗下Unit 42实验室披露,2024年2月至11月期间监测到多起针对该地区关键电信基础设施的攻击事件,攻击者利用Cordscan等工具收集移动设备位置数据。
值得注意的是,调查人员在受感染系统和网络中未发现数据外泄证据,也未观察到攻击者尝试追踪或联络移动网络内部设备。研究人员强调:“该威胁组织具备极高的操作安全(OPSEC)规范,综合运用多种防御规避技术躲避检测”。
该组织自2020年起持续针对南亚、非洲电信实体实施情报窃取活动。部分攻击手法还与“LightBasin”(又名UNC1945)及金融犯罪组织“UNC2891”存在关联——后者以劫持ATM基础设施著称。
攻击者通过SSH认证机制的暴力破解获取访问权限,采用针对电信设备内置账户的定制化字典列表实施突破。
恶意工具链
- AuthDoor:覆盖合法PAM模块实施凭证窃取,通过硬编码魔术密码维持持久访问GTPDoor:滥用GPRS隧道协议控制面(GTP-C)在电信漫游网络建立隐蔽C2通道EchoBackdoor:通过ICMP回显请求数据包被动接收指令,未加密返回执行结果SGSN模拟器:模拟服务GPRS支持节点,绕过企业防火墙限制ChronosRAT:模块化ELF后门支持远程Shell、键盘记录及端口转发NoDepDNS:基于Golang的DNS隧道后门,通过原始套接字解析53端口UDP指令
防御规避
攻击组合利用DNS隧道传输流量、通过被控移动运营商中转通信、清除认证日志、禁用SELinux安全模块及进程名称伪装等技术。同时部署Microsocks代理、FRP反向代理及ProxyChains等公开工具,并利用Linux本地提权漏洞(CVE-2021-4034等)扩大控制范围。
本次披露恰逢中国国家计算机网络应急技术处理协调中心(CNCERT)指控美国情报机构:
- 利用Microsoft Exchange零日漏洞(2022年7月-2023年7月)窃取中国军工企业国防情报针对高科技军事院校及科研机构实施数据窃取2024年7-11月通过电子文件系统漏洞攻击中国通信卫星企业
对此,美国前总统特朗普曾公开承认:“我们同样对他们实施网络行动,这就是世界的运行规则。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
