Kineski povezani akteri upali u vojne sisteme u jugoistočnoj Aziji
Cyber Press piše da je kampanja označena kao CL-STA-1087 kompromitovala vojne organizacije u jugoistočnoj Aziji i da je bila usmerena na prikupljanje osetljivih vojnih informacija. Meta nisu bili široki masovni upadi, već sistemi komandovanja, strukture vojske i podaci o zajedničkim operacijama. U tekstu se navodi upotreba više prilagođenih alata za postojanost, krađu kredencijala i rad isključivo iz memorije, uz oslanjanje na legitimne servise i dugo uspavljivanje radi izbegavanja detekcije.
Kada su meta vojne organizacije, značaj incidenta prevazilazi pojedinačnu kompromitaciju jednog sistema, jer može uticati na operativnu sliku, planiranje i međudržavnu saradnju. Ovakve kampanje pokazuju koliko su napadači strpljivi, disciplinovani i spremni da mesecima ostanu nevidljivi radi prikupljanja obaveštajnih podataka.
- Posebno nadzirati PowerShell, WMI i .NET aktivnosti na osetljivim sistemima
- Tražiti znakove dugotrajno uspavanih skripti i povremenih reverse shell konekcija
- Ograničiti pristup neupravljanim endpoint uređajima unutar mreže
- Pratiti pokušaje pristupa LSASS memoriji i skrivene fajlove koji liče na sistemske baze
- Analizirati outbound konekcije ka servisima i infrastrukturnim tačkama koje mogu služiti kao dead drop ili posredni C2 kanal