Vítejte u Cybulovin s pořadovým číslem 12. Stejně jako minulý týden vám přinášíme dvě čínské kyberšpionážní skupiny v jednom příspěvku, dále se podíváme na zákaz softwaru ruské firmy Kaspersky Lab v USA a na závěr dáme za pravdu čínské vládě, která ráda tvrdí, že na nikoho neútočí a ČLR je největší obětí v kyberprostoru. Inu, i rozbité hodiny ukazují správný čas dvakrát denně a tak se ve třetím příspěvku podíváme na aktivitu nové skupiny Void Arachne, která cílí na zájem čínských uživatelů o VPN nástroje. Hlavním podezřelým je ovšem stále Čína.
Příjemné čtení.
Tým Cybule
Obsah:
- Sneaky Chef používá novou variantu Gh0st RAT a Red Juliett cílí na tchajwanské instituce
- USA zakázaly používání softwaru od ruské firmy Kaspersky Lab
- Nová skupina Void Arachne útočí na zájem čínských uživatelů o VPN a AI nástroje
Sneaky Chef používá novou variantu Gh0st RAT a RedJuliett cílí na tchajwanské instituce
(21.6.2024, Cisco Talos, 24.6.2024, Recorded Future)
Analytici Cisco Talos identifikovali nového čínského aktéra, kterého sledují pod označením „SneakyChef.“ Skupina cílí na ministerstva zahraničí a velvyslanectví pomocí vylepšené verze malwaru Gh0st RAT nazvané SugarGh0st. Nová verze Gh0st RAT, která je šířena prostřednictvím zdánlivě neškodných dokumentů, je aktivní od srpna 2023 a umožňuje útočníkům rozšířené možnosti při obcházení detekce. SneakyChef má široký geografický záběr (viz obrázek) a na své cíle útočí v Africe, Evropě, Asii a na Blízkém východě. SneakyChef při phishingové kampani použil jako návnadu nejen předstírané vládní dokumenty, ale i infikované přihlášky na konference a abstrakty výzkumných prací. Cisco Talos přisuzuje aktivitu Číně na základě používání SugarGh0st.
Geografická distribuce obětí SneakyChef (Cisco Talos)
Recorded Future se v nově publikované analýze zaměřuje na další čínskou kyberšpionážní skupinu RedJuliett, také známou jako Flax Typhoon a Ethereal Panda. RedJuliett cílí od poloviny roku 2021 na různé tchajwanské a japonské organizace. Od listopadu 2023 do dubna 2024 identifikovali výzkumníci Insikt Group (tým Recorded Future pro analýzu kybernetických hrozeb) špionážní aktivity skupiny RedJuliett zaměřené na vládní, akademické, technologické a diplomatické organizace na Tchaj-wanu. RedJuliett využívá známé zranitelnosti v síťových zařízeních na perimetru, jako jsou firewally, VPN a load balancery (jako např. v minulých Cybulovinách zmíněné F5 BIG IP), pro počáteční přístup. Skupina pravděpodobně operuje z města Fu-čou v provincii Fu-ťien, což geograficky odpovídá trvalému zaměření na Tchaj-wan.
Co potřebujete vědět:
- SneakyChef použil pro phishingové návnady mj. předstírané dokumenty ministerstev obrany Uzbekistánu a Kazachstánu nebo dopis lotyšského ministerstva zahraničních věcí adresovaný zastupitelským úřadům třetích zemí v Rize nebo formulář žádosti o indický pas.
- K prvnímu odhalení SugarGh0st došlo v listopadu 2023. Útočník pokračoval v používání zveřejněné C2 domény a nasadil nové vzorky SugarGh0st v následujících měsících, navzdory odhalení za strany Cisco Talos. Většina vzorků pozorovaných v této kampani komunikuje s C2 doménou account[.]drive-google-com[.]tk a aktivita na této doméně byla pozorovaná i v půlce května 2024. Konzistence využívání C2 infrastruktury vedla Cisco Talos k pojmenování aktéra SneakyChef.
- Silné zaměření RedJulliett na Tchaj-wan nebrání skupině v širším geografickém záběru. RedJuliett kompromitovala 24 organizací, včetně vládních institucí, nejen na Tchaj-wanu, ale i v Laosu, Keni a Rwandě. Skupina také prováděla průzkum sítě nebo se pokoušela o útoky na více než 70 akademických, vládních, technologických organizací a think-tanků, stejně jako na několik zastupitelských úřadů působících na Tchaj-wanu.
- Důležitou součástí škodlivé infrastruktury RedJuliett je VPN služba SoftEther VPN, která je open source projektem vyvinutým v rámci magisterské práce na japonské Univerzitě v Cukubě. Další charakteristickým postupem RedJuliett je využívání špatně zabezpečené infrastruktury tchajwanských univerzit. Mezi používanými nástroji je legitimní software Acunetix pro testování bezpečnosti webových aplikací.
Komentář Cybule: Původní verze Gh0st RAT je výhradně používána čínskými kyberšpionážními skupinami, takže její používání je silným indikátore příslušnosti aktéra k Čínské lidové republice. Sdílení nástrojů mezi čínskými aktéry naopak stěžuje přiřazení škodlivé aktivity konkrétní skupině. Existence SugarGh0st poukazuje na úsilí čínských aktérů dále zdokonalovat zavedené nástroje. Další možností je cesta, kterou zvolila skupina RedJuliett, tj. využívání legitimních a open source nástrojů pro kyberšpionážní účely. Kampaň RedJuliett proti tchajwanským cílům je zajímavá i cílením na de facto diplomatické mise působící na Tchajwanu. Česká republika patří mezi 15 členských států EU, které mají na Tchaj-wanu diplomatické zastoupení. Dále v zemi působí zastoupení Evropské komise (pod jménem European Economic and Trade Office).
USA zakázaly používání softwaru od ruské firmy Kaspersky Lab
(29.6.2024, bis.gov)
Ministerstvo obchodu USA vydalo zákaz používání antivirového softwaru a dalších kybernetických produktů od ruské společnosti Kaspersky Lab. Tento zákaz byl přijat na základě vyšetřování, které odhalilo, že produkty Kaspersky mohou být využívány ruskou vládou k špionáži a dalším nelegálním aktivitám, které představují vážné riziko pro národní bezpečnost USA.
Co potřebujete vědět:
- Zákaz se týká všech produktů Kaspersky, včetně antivirového softwaru, firewallů a produktů pro správu systémů a to od 20. června 2024.
- Společnost však může stávajícím zákazníkům až do 29. září poskytnout aktualizaci softwaru.
- Společnosti, které Kaspersky v současné době používají, budou mít 90 dní na to, aby našly náhradu
- Tři subjekty této společnosti (AO Kaspersky Lab a OOO Kaspersky Group (Rusko) a Kaspersky Labs Limited (Spojené království)) byly zároveň přidány na Seznam entit, které spolupracují s ruskými zpravodajskými službami.
- Společnost ústy svého zakladatele Eugena Kasperského odmítla, že by se kdy zapojila do aktivity, která by ohrožovala národní bezpečnost USA a vyjádřila přesvědčení, že rozhodnutí je založeno na chybných informacích a lze ho zvrátit.
- V minulosti, resp. v roce 2017 bylo zakázáno používat produkty Kaspersky ve federálních sítích s odvoláním na národní bezpečnost.
- Jako riziko pro národní bezpečnost označuje Kaspersky nejen USA, ale i Kanada a Německo.
Komentář Cybule: Zákaz softwaru Kaspersky je nejnovějším krokem v rostoucím napětím mezi USA a Ruskem v oblasti kybernetické bezpečnosti, které ovlivní miliony amerických uživatelů, kteří tento software používají. Kaspersky je jedním z největších prodejců antivirových programů na světě a v USA má přibližně 5 milionů uživatelů. Zákaz používání produktů Kaspersky Lab odráží rostoucí obavy USA z kybernetických hrozeb spojených s ruskými technologickými firmami, kdy tento krok má za cíl minimalizovat rizika spojená s možným zneužitím softwaru ke špionážním účelům, od čehož si americké úřady slibují zvýšení celkové kybernetické bezpečnosti USA.
Nová skupina Void Arachne útočí na zájem čínských uživatelů o VPN a AI nástroje
(19.6.2024, Trend Micro)
Analýza společnosti Trend Micro se zaměřuje na novou kybernetickou hrozbu známou jako Void Arachne, která cílí na čínsky hovořící uživatele. Skupina je charakteristická phishingovými kampaněmi a použitím technik, které ztěžují jejich detekci a analýzu. Kampaň Void Arachne zahrnuje použití škodlivých MSI souborů, které obsahují legitimní instalační soubory pro čínskou verzí Google Chrome a VPN sítěmi propagovanými v Číně, jako jsou LetsVPN a QuickVPN. Zájem čínských uživatelů o VPN aplikace je přísnou vládní kontrolou v Číně. Void Arachne tak zneužívá zvýšený zájem veřejnosti o software, který může obejít tzv. „Velký čínský firewall,“ který je základním prvkem online cenzury v ČLR. Další zájem uživatelů, který Void Arachne zneužívá, je o dost méně legitimní. Jedná se o zájem o nástroje na generování deepfake pornografie a software na modifikaci či výměnu hlasu a tváře, rovněž využitelný pro deepfake účely. Při instalaci nástrojů se oběti nevědomky infikují malwarem Winos 4.0.
Winos je backdoor používaný čínskými útočníky s širokou škálou schopností pro vzdálené ovládání kompromitovaného počítače. Winos má celou řadu funkcí a kromě převzetí kontroly nad napadeným zařízením umožňuje i dílčí úkony jako je pořizování záznamu obrazovky, ovládání webkamery, nahrávání audio záznamu přes mikrofony nebo provádění DDoS útoky zapojením napadeného přístroje do širšího botnetu.
Infikovaný MSI soubor s nástrojem na rozpoznávání a výměnu tváří a hlasu (Trend Micro)
Co potřebujete vědět:
- Void Arachne cílí na uživatele hovořící čínsky prostřednictvím dobře zpracovaných phishingových e-mailů. Tyto e-maily často napodobují známé značky nebo služby, aby nalákaly oběti ke kliknutí na škodlivé odkazy nebo stažení infikovaných příloh.
- Malware Winos 4.0 využívá pokročilé techniky k vyhnutí se detekci. Patří sem polymorfismus, kdy se kód při každém spuštění mírně mění, a únik ze sandboxu, což ztěžuje tradičním antivirovým řešením rozpoznání a zmírnění hrozby.
- Kromě phishingových emailů, které oběti zavedou na webové stránky pod kontrolou útočníků, identické škodlivé MSI soubory jsou sdíleny v čínskojazyčných kanálech na Telegramu. Trend Micro v analýze uvádí, že tyto kanály se týkají technologie VPN a škodlivé MSI soubory byly šířeny napříč několika Telegram kanály.
- Hlavní metodou distribuce jsou phishingové e-maily. E-maily obvykle obsahují pocit naléhavosti, povzbuzující příjemce k okamžité akci, jako je stažení přílohy nebo kliknutí na odkaz, který spustí stahování malwaru.
- Po instalaci malwaru může Void Arachne krást citlivé informace, jako jsou přihlašovací údaje a osobní data, a potenciálně může být použit k vytvoření zadních vrátek pro další zneužití.
- VPN „快连VPN“ (Quick VPN nebo Kuailian VPN) je běžným vektorem phishingu, který cílí na čínsky mluvící uživatele v Číně, Tchaj-wanu a dalších obastech východní Asie. Trend Micro pozoruje využívání legitimní instalace 快连VPN k instalaci dalšího malwaru, který je spojen s čínskými aktéry, včetně nástroje Gh0st RAT a jeho variant.
Komentář Cybule: Trend Micro se ve své studii hlouběji zaměřuje na technickou analýzu nástroje Winos 4.0 a vyhýbá se příme atribuci. Z dostupných informace je však velmi pravděpodobné, že útočníci pocházejí rovněž z ČLR. Winos 4.0. má uživatelské rozhraní psané ve zjednodušené čínštině a není známo jeho použití mimo čínské aktéry. Motivace útočníku je méně zřejmá. Void Arachne může být čistě kyberkriminálním aktérem, ale rovněž pracovat pro čínský stát. Nepovolené používání VPN, ale i vytváření a distribuce pornografie, je v ČLR nelegální. Nedávné úniky informací z čínských kyberofenzivních firem I-Soon, Wuhan Xiaoruizhi nebo Chengdu 404, ukazují na ekosystém, ve kterém podobné společnosti mohou fungovat na hranici kybernetcké kriminality za podmínek, že jsou k dispozici potřebám čínských bezpečnostních orgánů.