Kineska APT kampanja cilja vojne organizacije u jugoistočnoj Aziji
Istraživači iz Palo Alto Networks Unit 42 identifikovali su sajber špijunsku kampanju povezanu sa kineskim akterima koja cilja vojne organizacije u jugoistočnoj Aziji. Operacija, označena kao CL-STA-1087, koristi prilagođeni malver AppleChris i MemFun za dugotrajni pristup kompromitovanim sistemima i prikupljanje obaveštajnih podataka o vojnim kapacitetima i saradnji sa zapadnim vojskama.
Napadi imaju karakteristike naprednih državnih operacija (APT), sa fokusom na precizno prikupljanje obaveštajnih informacija umesto masovne krađe podataka. Korišćenje Pastebin i Dropbox servisa za skrivanje C2 infrastrukture, zajedno sa tehnikama poput DLL hijacking-a i process hollowing-a, omogućava dugotrajno i prikriveno prisustvo u kompromitovanim mrežama.
- Pratiti sumnjive PowerShell aktivnosti i neobične sleep tajmere u skriptama
- Detektovati pokušaje pristupa procesu lsass.exe i ekstrakcije kredencijala
- Blokirati ili nadzirati komunikaciju prema servisima koji se koriste kao dead-drop resolveri (Pastebin, Dropbox)
- Primeniti EDR alate za detekciju tehnika poput process hollowing i DLL hijacking
- Segmentirati mreže i ograničiti pristup osetljivim vojnim i istraživačkim podacima