Cybuloviny 8/25

/ Cybuloviny, Týdenní přehled

Nové vydání Cybulovin přináší poznatky čínských kyberbezpečnostních firem o útoku na čínskou univerzitu a jeho připsání americké NSA. Ve druhém příspěvku představíme APT skupinu SilverFox, která ohrožuje nemocniční sektor, a probereme podezření na útok severokorejské skupiny Lazarus na kryptoměnovou burzu ByBit.

Příjemné čtení!

Tým Cybule

Obsah:

  • Čínské společnosti přiřazují americké NSA útok na čínskou univerzitu
  • Silver Fox nasazuje falešné DICOM prohlížeče: ValleyRAT, keylogger a kryptominer v akci
  • Severokorejská skupina Lazarus podezřelá z útoku na ByBit

Čínské společnosti přiřazují americké NSA útok na čínskou univerzitu

(18.2.2025, Inversecos)

Analytička a zakladatelka kyberbezpečnostní společnosti XINTRA Lina Lau publikovala analýzu, ve které shrnuje zprávy čínských kyberbezpečnostních organizací o údajném kybernetické operaci NSA (APT-C-40 podle Qihoo 360). Konkrétně se zaměřuje na incident z roku 2022, kdy byla odhalena kompromitace systémů Northwestern Polytechnical University (NPU) v Číně. Kyberbezpečnostní firma Qihoo 360 a Národní centrum pro reakce na počítačové viry (CVERC) připsaly útok kyberofenzivnímu týmu americké NSA známému jako Tailored Access Operations (TAO). ČínskÉ VYŠETŘOVÁNÍ učinilo atrbuci mj. na základě znamých nástrojů NSA, jako je platforma FOXACID, spyware SECONDDATE a malware NOPEN. Analýza Qihoo 360 a CVERC neuvádí přesný časový údaj, místo toho zmiňuje vícero kompromitací NPU v průběhu (řady) let. Původní analýzy byly publikovány v letech 2022 a 2023.

Přehled aktéru sledovaných čínskou společností Qihoo 360, přeloženo z čínštiny s použitím Google Translate (Qihoo 360)

Co potřebujete vědět:
  • Čínští vyšetřovatelé připsali útok NSA na základě překryvu aktivity s časovými zónami, klávesovými vstupy, chybami na straně útočníků, které plynuly z dlouhého trvání kompromitace a překryvů s nástroji z rozáshlého úniku ofenzivního arzenálu NSA z let 2016 a 2017, za kterými stála skupina Shadow Brokers. Útok na NPU zahrnoval použití rozsáhle infrastruktury a velkého množství specializovaných nástrojů. včetně zero-day exploitů a útoků adversary-in-the-middle s využitím platformy FOXACID a spywaru SECONDDATE.
  • Po získání počátečního přístupu se útočníci soustředili na zajištění dlouhodobé přítomnosti a pohybu v síti instalovaním backdoorů, jako je NOPEN, a krádeží přihlašovacích údajů. Útočníci se zaměřili na periferní síťová zařízení (např. routery, brány) kvůli jejich unikátní pozici na vstupu do vnitřní sítě.
  • Útočníci postupně exfiltrovali citlivá a utajená výzkumná data a přihlašovací údaje pomocí nástrojů, jako je „OPERATION BEHIND ENEMY LINES“, proxy serverů a VPN. Používali také anti-forenzní techniky, jako je nástroj TOAST BREAD, k vymazání důkazů neoprávněného přístupu.
  • Lina Lau argumentuje, že jedním z klíčových zjištění analýzy čínských reportů bylo rozsáhlé využití analýzy velkých dat, zejména ke sledování aktivity „hands-on keyboard“. Qihoo 360 to umožnilo identifikovat určité vzorce, například absence aktivity během amerického svátku Memorial Day, a zjištění operační doby útočníků. Díky tomu mohla 360 omezit aktivitu na pracovní dny od pondělí do pátku v časech odpovídajících pracovní době podle východoamerického času (EST).
  • NPU patří mezi „Sedm synů národní obrany“, skupině sedmi veřejných univerzit spadajících pod Ministerstvo průmyslu a informačních technologií (MIIT), které se významně podílí na vojenském výzkumu Výzkum NPU se zaměřuje na letectví, vesmírné technologie a námořní inženýrství. NPU je mimo jiné známá svývojem bezpilotních letounů (UAV).

Komentář Cybule: Článek Liny Lau nabízí vzácný pohled na aktivitu západních aktéru z pohledu vyšetřování čínských bezpečnostních firem, které jsou jednak relativně vzácné (veřejná atribuce se u čínských kyberbezpečnostních organizací je relativně nový fenomén) a jsou publikovány nestandardním způsobem na profilech daných firem a institucí na sociálních mediích jako je WeChat (Weixin) a ne na oficiálních webových stránkách. V neposlední řadě jsou publikovány pouze v čínštíně a jen někdy propagovány v anglickojazyčných čínských mediích, což snižuje obecné povědomí mimo území ČLR. Atribuce se jeví jako důvěryhodná a zaměřuje se na podobné akspekty, na které by se zaměřilo vyšetřování západních institucí. Z hlediska viktimologie je NPU rozhodně lákavým cílem kyberšpionážní aktivity, vzhledem k privilegovanému postavení této univerzity ve výzkumu pro čínské ozbrojené síly.

Silver Fox nasazuje falešné DICOM prohlížeče: ValleyRAT, keylogger a kryptominer v akci

(24.02.2025, Forescout)

Forescout identifikoval 29 vzorků malwaru vydávajících se za prohlížeč Philips DICOM. Tyto vzorky obsahovaly backdoor ValleyRAT, využívaný čínskou APT skupinou Silver Fox k získání perzistence a kontroly nad kompromitovanými systémy. Kromě backdooru byl malware vybaven keyloggerem pro exfiltraci přihlašovacích údajů a kryptominerem, což představuje nový prvek v TTP této skupiny.

Co potřebujete vědět:
  • Silver Fox, známý také jako Void Arachne a The Great Thief of Valley, je APT skupina, která se v minulosti zaměřovala na čínsky mluvící oběti a byla velmi aktivní již v roce 2024. V uplynulém roce skupina prokázala vývoj taktik, technik a postupů (TTP), které přesunuly její zaměření na širší škálu cílů.
  • Nová kampaň od skupiny Silver Fox zneužívá software Philips DICOM určený pro zobrazení a analýzu lékařských snímků (např. rentgenů a MRI). Malware maskovaný jako tento software umožňuje útočníkům plnou kontrolu nad infikovaným systémem. Výzkumníci identifikovali 29 vzorků malwaru mezi červencem 2024 a lednem 2025. Tyto soubory se tvářily jako Philips DICOM aplikace, ale místo toho obsahovaly škodlivý kód.
  • Vzorky tohoto klastru, včetně MediaViewerLauncher.exe, fungují jako první stupeň payloadu, který může být doručen prostřednictvím více vektorů. Přesný způsob distribuce sice není zřejmý, ale Silver Fox v minulosti používal k šíření svého malwaru SEO poisoning a phishing. Jakmile je škodlivý software nainstalován, spustí ValleyRAT – backdoor, který útočníkům umožňuje ovládnout systém a potenciálně se dostat i do nemocničních sítí.
  • Útočníci využívají cloudové úložiště Alibaba Cloud k doručování šifrovaných škodlivých souborů, které jsou maskovány jako image soubory. Po jejich stažení malware dešifruje payloady a vygeneruje škodlivý spustitelný soubor („second-stage malware“), který je zaznamenán jako naplánovaná úloha systému Windows. Tato úloha se spustí okamžitě a je nakonfigurována tak, aby se spouštěla při každém přihlášení uživatele, čímž je zajištěna její stálost v infikovaném systému. Malware druhé fáze načte knihovnu Cyren AV DLL obsahující injektovaný kód určený k vyhnutí se debuggingu. Poté provede enumeraci systémových procesů za účelem identifikace různých antivirových softwarů a ukončí je pomocí nástroje TrueSightKiller.
  • Dříve se skupina Silver Fox zaměřovala na čínsky mluvící uživatele a vlády. Nyní se však objevily důkazy o cílení na organizace v USA a Kanadě, včetně e-commerce, financí a herního průmyslu.
  • Komentář Cybule: Zatímco primárním cílem jsou pacienti využívající DICOM prohlížeče k přístupu ke svým lékařským snímkům, riziko pro zdravotnické organizace je značné. Vektorem šíření může být přenos infikovaných zařízení do nemocničního prostředí, například při diagnostických návštěvách, nebo jejich použití v rámci konceptu „hospital-at-home“, kde se nemocniční péče spoléhá na pacientem spravované technologie. V takových scénářích existuje reálné riziko laterálního pohybu útočníků do segmentů zdravotnické IT infrastruktury. Útok podtrhuje vzrůstající trend zneužívání hybridních technologií na pomezí osobního a nemocničního IT. Pro efektivní mitigaci hrozby je zásadní striktní síťová segmentace, omezení přenosu souborů z nedůvěryhodných zdrojů, detekce anomálního chování v síti i na koncových bodech a aktivní hrozbová analytika zaměřená na identifikaci taktik známých aktérů.

Severokorejská skupina Lazarus podezřelá z útoku na ByBit

(27.2.2025, The Hacker News)

Rekordní útok na singapurskou kryptoměnovou burzu ByBit, který vedl ke zcizení kryptoměn v hodnotě 1,5 miliardy dolarů, přiřadila americká FBI severokorejské skupině TraderTraitor, známou také jako Jade Sleet, Slow Pisces a UNC4899. Podle aktuálních informací došlo ke kompromitaci vývojářského účtu platformy Safe{Wallet}, jejíž bezpečnostní tým vyloučil existenci zneužitelné zranitelnosti. Jednalo se tak o útok skrze dodavatelský řetězec, kdy útočník kompromituje dodavatele služeb, aby se dostal do systému zamýšlené oběti.

Co potřebujete vědět:
  • TraderTraitor je spojován s nechvalně známou skupinou Lazarus. Skupina Lazarus je proslulá sofistikovanými útoky sociálního inženýrství, které cílí na vývojářské přihlašovací údaje. Lazarus je hlavní kybernetický aktér, který působí jako součást severokorejské rozvědky Reconnaissance General Bureau (정찰총국; RGB). Pravděpodobně je identický s Úřadem č. 121, který se v rámci RGB specializuje na kybernetické operace.
  • Přiřazení útoku skupině Lazarus umožnila i skutečnost, že útočníci zaregistrovali doménu bybit-assessment[.]com krátce před krádeží, přičemž použili emailovou adresu dříve spojenou s jejich kampaní „Contagious Interview“, která zahrnovala falešné pracovní pohovory na LinkedIn za účelem nasazení malwaru a sběru přihlašovacích údajů.
  • FBI v prohlášení uvedla, že útočníci postupují rychle a převedli část odcizených aktiv na Bitcoin a další virtuální aktiva rozptýlená na tisících adres na několika blockchainech. Očekává se, že tato aktiva budou dále přesměrována přes další účty praná a převedena na fiat měnu.
  • Lazarus stál za opakovanou kompromitací mezibankovního komunikačního systémemu SWIFT v letech 2016-2017, který vedl ke zcizení finančních prostředků přes falešnou autorizaci transakcí na účty pod kontrolou útočníků. V únoru 2016 se Lazarus pokusil o zcizení přibližně 850 milionů dolarů z účtů Bangladéšské centrální banky. Nakonec se útočníkům podařilo ukrást zhruba 81 milionů dolarů, které se pak pokusili přes čínské prostředníky vyprat přes kasino na Filipínách, kde se úřadům podařilo část prostředků zabavit. Druhým známým případem je útok na tchajwanskou banku Far Eastern International Bank, pravděpodobně z října 2017. Lazarus zcizili finanční nprostředky v řádech milionů dolarů, které se ale z větší části podačilo získat zpět.
  • Odhaduje se, že aktéři napojení na Severní Koreu od roku 2017 ukradli kryptoměnová aktiva v hodnotě přes 3 miliard dolarů. Krádež kryptoměny ve výši 1,5 miliardy dolarů z účtu ByBit překonává 1,34 miliardy dolarů, které tito aktéři získali z 47 kryptoměnových loupeží za celý rok 2024.

Komentář Cybule: TraderTraitor je pravděpodobně tým fungující v rámci skupiny Lazarus, který se specializuje na krádež kryptoměn. Narozdíl od útoku na banky je pravděpodobnost navrácení zcizených zdrojů obětem značně snížena. Při kompromitaci SWIFT systému hrála proti KLDR celá řada faktorů. Prostředníci museli vybrat částku ze svých bankovních účtů dřív než je banka zablokovala a k dalším ztrátám docházelo při procesu převozu hotovosti do KLDR. Útočníci i tak čelí výzvě při přemísťovaní ukradené částky a směny z kryptoměny na standarní měnu, kde roli hraje i skutečnost, že KLDR je sankcemi odstřižena od mezinárodního bankovního systému. Dá se ovšem očekávat, že čínské či ruské banky budou méně ochotné dodržovat sankce než tomu bylo dřív.

Related Posts

Přejít nahoru