Cybereasons Nocturnus-team har upptäckt en cyberspionagekampanj kallad DeadRinger, där tre hotaktörer riktar sig till telekomföretag i Sydostasien.
Forskare spårade deras tekniker och taktik och länkade dem till kinesiska statliga grupper, som APT, och avsedda för att stjäla känslig data från målen. Istället ses de utnyttja gamla sårbarheter i tillgängliga maskiner.
Verksam sedan 2017
Statssponsrade hackargrupper är inte alltid motiverade av monetära medel utan är datahungriga. Således involverar de cyberspaning och tillhandahåller kritiska data till sina sponsrande regeringar för att få en konkurrensfördel.
Medan många avancerade länder har sina egna Advanced Persistent Threat-grupper (APT) som körs i hemlighet, är kineser och ryska aktiva i samhället. Och på tisdag har Cyberasons cybersäkerhetsflygel, Nocturnus upptäckt en ny kampanj avslöjar tre kinesiska APT-kluster.
Alla dessa riktar sig till telekommunikationsföretag som arbetar i Sydostasien och har spårats tillbaka till 2017. Men den första bland dem, heter Soft Cell APThar börjat attackera sedan 2018.
Den andra antogs vara från Naikonstartade sin verksamhet i slutet av förra året och är kopplad till den kinesiska folkets befrielsearmés (PLA) militärbyrå.
Och den tredje var kopplad till APT27 (Emissary Panda) och fungerade från 2017 till början av 2021. Den sågs träffa Microsoft Exchange Servers sårbarheter långt innan den upptäckte och distribuerade annan skadlig programvara för att samla in mer data.
Dessa inkluderar China Chopper webbskal, Mimikatz för att skörda referenser, Cobalt Strike beacons och bakdörrar för att ansluta till deras C2-server för dataexfiltrering. Denna kampanj kallas gemensamt som DeadRinger och sades uppnå modellen av Kaseya- och SolarWinds-incidenter.
Träffande telekomföretag kan komma åt kritiska system som faktureringsservrar, som innehåller Call Detail Record-data (CDR) och andra nätverkskomponenter som domänkontrollanter, webbservrar och Microsoft Exchange-servrar.
