(Bolt – Meta Description): Një aktor shtetëror i lidhur me Kinën dyshohet se qëndron pas një sërë sulmesh kundër organizatave industriale në Evropën Lindore, që synojnë të vjedhin të dhëna nga sisteme të izoluara. APT31 është grupi i dyshuar.
Një seri sulmesh ndaj organizatave industriale në Evropën Lindore vitin e kaluar iu atribuuan me besim mesatar ose të lartë një grupi hakerash të njohur si APT31, i cili është i lidhur me Kinën. Sulmet përfshinin përdorimin e më shumë se 15 implanteve të veçanta dhe varianteve të tyre, të ndara në tre kategori kryesore, me qëllim vendosjen e aksesit të vazhdueshëm në distancë, mbledhjen e informacionit të ndjeshëm dhe transmetimin e të dhënave të mbledhura në një infrastrukturë të kontrolluar nga aktori.
Sulmet përfshinin përdorimin e malware të sofistikuar modular që synonte profilizimin e disqeve të lëvizshme dhe kontaminimin e tyre me një krimb për të nxjerrë të dhëna nga rrjete të izoluara. Një lloj tjetër platforme u krijua për të vjedhur të dhëna nga një kompjuter lokal dhe për t’i dërguar ato në Dropbox. Midis dyerve të pasme të përdorura janë versione të ndryshme të një familjeje malware të quajtur FourteenHi, e cila është përdorur të paktën që nga marsi 2021, dhe një backdoor i fazës së parë të quajtur MeatBall, i cili përdoret për akses në distancë dhe mbledhjen fillestare të të dhënave.
Sulmet treguan një tendencë për abuzim me shërbimet cloud si Dropbox, Yandex dhe Google. Kjo qasje vazhdon të zgjerohet, pasi është e vështirë të kufizohet ose të zbutet kur proceset e biznesit varen nga përdorimi i shërbimeve të tilla. Aktorët e kërcënimit e bëjnë gjithnjë e më të vështirë zbulimin dhe analizimin e kërcënimeve duke fshehur ngarkesat e koduara dhe kodin keqdashës në kujtesën e aplikacioneve legjitime.
APT31 është vërejtur gjithashtu duke përdorur instalime të dedikuara për të mbledhur skedarë lokalë dhe për të vjedhur të dhëna nga sisteme të izoluara, duke infektuar disqet e lëvizshëm. Malware i përdorur përbëhet nga të paktën tre module, secila përgjegjëse për detyra të ndryshme, të tilla si profilizimi dhe menaxhimi i disqeve të lëvizshme, regjistrimi i tastierëve dhe pamjeve të ekranit dhe instalimi i malware i fazës së dytë në disqet e sapo kyçur.
Përpjekjet e qëllimshme të aktorit të kërcënimit për të turbulluar veprimet e tyre përmes ngarkesave të koduara, injektimeve të kujtesës dhe rrëmbimit të DLL nënvizojnë sofistikimin e taktikave të tyre. Edhe pse nxjerrja e të dhënave nga rrjetet e izoluara është një strategji e përsëritur e miratuar nga shumë APT, këtë herë ajo u projektua dhe u zbatua në mënyrë unike nga aktori.
Përveç sulmeve që synojnë mjedisin Windows, ka dëshmi se APT31 ka synuar gjithashtu sistemet Linux. Në fillim të këtij muaji, qendra e reagimit të urgjencës së sigurisë AhnLab (ASEC) zbuloi sulme të kryera ndoshta nga kundërshtari kundër kompanive koreano-jugore, duke synuar të infektonin makinat me një derë të pasme të quajtur Rekoobe.