بخشهای دولتی، هوانوردی، آموزش و مخابرات واقع در جنوب و جنوب شرق آسیا به عنوان بخشی از یک کمپین بسیار هدفمند که از اواسط سال 2022 آغاز شد و تا سه ماهه اول سال 2023 ادامه یافت، تحت حمله یک گروه هکری جدید قرار گرفتهاند.
Symantec، توسط Broadcom Software، در حال ردیابی فعالیتها با نام Lancefly با است و در حملات از یک درب پشتی «قدرتمند» به نام Merdoor استفاده میکند.
شواهد جمع آوری شده تاکنون حاکی از استفاده از ایمپلنت سفارشی در سال 2018 است. هدف نهایی این کمپین، بر اساس ابزارها و الگوی قربانی شناسی، جمع آوری اطلاعات ارزیابی می شود.
سیمانتک در تحلیلی که با The Hacker News به اشتراک گذاشته شده است، میگوید: «درپشتی بهطور انتخابی استفاده میشود، تنها در تعداد انگشت شماری از شبکهها و تعداد کمی از ماشینها در طول سالها ظاهر میشود و به نظر میرسد که استفاده از آن بسیار هدفمند است».
مهاجمان در این کمپین همچنین به نسخه به روز شده روت کیت ZXShell دسترسی دارند.
زنجیرههای حمله در نهایت منجر به استقرار ZXShell و Merdoor میشوند، یک بدافزار با ویژگیهای کامل که میتواند با یک سرور کنترلشده توسط بازیگر برای دستورات بیشتر و زدن کلیدهای گزارش ارتباط برقرار کند.
ZXShell، که برای اولین بار توسط سیسکو در اکتبر 2014 ثبت شد، یک روت کیت است که با ویژگی های مختلفی برای جمع آوری داده های حساس از میزبان های آلوده ارائه می شود. استفاده از ZXShell در گذشته به بازیگران مختلف چینی مانند APT17 (Aurora Panda) و APT27 (با نام مستعار Budworm یا Emissary Panda) مرتبط بوده است.
سیمانتک گفت: "کد منبع این روت کیت در دسترس عموم است، بنابراین ممکن است توسط چندین گروه مختلف استفاده شود." نسخه جدید روت کیت مورد استفاده توسط Lancefly از نظر اندازه کوچکتر به نظر می رسد، در حالی که دارای عملکردهای اضافی است و نرم افزار آنتی ویروس اضافی را برای غیرفعال کردن هدف قرار می دهد.
یکی دیگر از پیوندهای چینی از این واقعیت ناشی می شود که روت کیت ZXShell توسط گواهی "Wemade Entertainment Co. Ltd" امضا شده است، که قبلا توسط Mandiant در آگوست 2019 گزارش شده بود که با APT41 (معروف به Winnti) مرتبط است.
نفوذهای Lancefly همچنین بهعنوان استفاده از PlugX و جانشین آن ShadowPad شناخته شدهاند که مورد آخر یک پلتفرم بدافزار مدولار است که از سال 2015 بهطور خصوصی بین چندین بازیگر تحت حمایت دولت چین به اشتراک گذاشته شده است.
گفته میشود، همچنین مشخص است که اشتراکگذاری گواهی و ابزار در میان گروههای تحت حمایت دولت چین رایج است و انتساب به یک خدمه حمله شناختهشده خاص را دشوار میکند.
سیمانتک خاطرنشان کرد: «در حالی که به نظر میرسد درب پشتی Merdoor برای چندین سال وجود داشته است، به نظر میرسد که تنها در تعداد کمی از حملات در آن دوره زمانی استفاده شده است». این استفاده محتاطانه از این ابزار ممکن است نشان دهنده تمایل Lancefly برای حفظ فعالیت خود در زیر رادار باشد.
Symantec، توسط Broadcom Software، در حال ردیابی فعالیتها با نام Lancefly با است و در حملات از یک درب پشتی «قدرتمند» به نام Merdoor استفاده میکند.
شواهد جمع آوری شده تاکنون حاکی از استفاده از ایمپلنت سفارشی در سال 2018 است. هدف نهایی این کمپین، بر اساس ابزارها و الگوی قربانی شناسی، جمع آوری اطلاعات ارزیابی می شود.
سیمانتک در تحلیلی که با The Hacker News به اشتراک گذاشته شده است، میگوید: «درپشتی بهطور انتخابی استفاده میشود، تنها در تعداد انگشت شماری از شبکهها و تعداد کمی از ماشینها در طول سالها ظاهر میشود و به نظر میرسد که استفاده از آن بسیار هدفمند است».
مهاجمان در این کمپین همچنین به نسخه به روز شده روت کیت ZXShell دسترسی دارند.
زنجیرههای حمله در نهایت منجر به استقرار ZXShell و Merdoor میشوند، یک بدافزار با ویژگیهای کامل که میتواند با یک سرور کنترلشده توسط بازیگر برای دستورات بیشتر و زدن کلیدهای گزارش ارتباط برقرار کند.
ZXShell، که برای اولین بار توسط سیسکو در اکتبر 2014 ثبت شد، یک روت کیت است که با ویژگی های مختلفی برای جمع آوری داده های حساس از میزبان های آلوده ارائه می شود. استفاده از ZXShell در گذشته به بازیگران مختلف چینی مانند APT17 (Aurora Panda) و APT27 (با نام مستعار Budworm یا Emissary Panda) مرتبط بوده است.
سیمانتک گفت: "کد منبع این روت کیت در دسترس عموم است، بنابراین ممکن است توسط چندین گروه مختلف استفاده شود." نسخه جدید روت کیت مورد استفاده توسط Lancefly از نظر اندازه کوچکتر به نظر می رسد، در حالی که دارای عملکردهای اضافی است و نرم افزار آنتی ویروس اضافی را برای غیرفعال کردن هدف قرار می دهد.
یکی دیگر از پیوندهای چینی از این واقعیت ناشی می شود که روت کیت ZXShell توسط گواهی "Wemade Entertainment Co. Ltd" امضا شده است، که قبلا توسط Mandiant در آگوست 2019 گزارش شده بود که با APT41 (معروف به Winnti) مرتبط است.
نفوذهای Lancefly همچنین بهعنوان استفاده از PlugX و جانشین آن ShadowPad شناخته شدهاند که مورد آخر یک پلتفرم بدافزار مدولار است که از سال 2015 بهطور خصوصی بین چندین بازیگر تحت حمایت دولت چین به اشتراک گذاشته شده است.
گفته میشود، همچنین مشخص است که اشتراکگذاری گواهی و ابزار در میان گروههای تحت حمایت دولت چین رایج است و انتساب به یک خدمه حمله شناختهشده خاص را دشوار میکند.
سیمانتک خاطرنشان کرد: «در حالی که به نظر میرسد درب پشتی Merdoor برای چندین سال وجود داشته است، به نظر میرسد که تنها در تعداد کمی از حملات در آن دوره زمانی استفاده شده است». این استفاده محتاطانه از این ابزار ممکن است نشان دهنده تمایل Lancefly برای حفظ فعالیت خود در زیر رادار باشد.