Nov 22, 2024Ravie LakshmananCyber Espionage/Malware Kundi la taifa lenye uhusiano na Uchina liitwalo TAG-112 lilihatarisha vyombo vya habari vya Tibet na tovuti za vyuo vikuu katika kampeni mpya ya kijasusi ya mtandao iliyoundwa kuwezesha uwasilishaji wa zana ya kufuata baada ya Mgomo wa Cobalt kwa ajili ya unyonyaji. – juu ya ukusanyaji wa habari. “Washambuliaji walipachika JavaScript hasidi katika tovuti hizi, ambayo iliharibu hitilafu ya cheti cha TLS kuwahadaa wageni ili wapakue cheti cha usalama kilichofichwa,” Recorded Future’s Insikt Group ilisema. “Programu hii hasidi, ambayo mara nyingi hutumiwa na watendaji tishio kwa ufikiaji wa mbali na unyonyaji, inaangazia umakini wa kijasusi wa mtandao kwa vyombo vya Tibet.” Maelewano hayo yamewekwa kwenye kundi la vitisho linalofadhiliwa na serikali liitwalo TAG-112, ambalo limefafanuliwa kama kundi dogo linalowezekana la nguzo nyingine inayofuatiliwa kama Evasive Panda (yajulikanayo kama Bronze Highland, Daggerfly, StormBamboo, na TAG-102) kutokana na mwingiliano wa mbinu na ulengaji wao wa kihistoria wa vyombo vya Tibet. Tovuti mbili za jumuiya ya Tibet ambazo zilivunjwa na kundi la wapinzani mwishoni mwa Mei 2024 zilikuwa Tibet Post (tibetpost.[.]net) na Chuo Kikuu cha Gyudmed Tantric (chuo kikuu cha gyudmedtantric[.]org). Hasa, imebainika kuwa tovuti zilizoathiriwa zilibadilishwa ili kuwahimiza wanaotembelea tovuti kupakua utekelezo hasidi uliofichwa kama “cheti cha usalama” ambacho kilipakia mzigo wa malipo ya Mgomo wa Cobalt wakati wa utekelezaji. JavaScript iliyowezesha hili inasemekana kupakiwa kwenye tovuti zinazoweza kutumia athari za kiusalama katika mfumo wao wa usimamizi wa maudhui, Joomla. “Javascript hasidi inachochewa na tukio la windows.onload,” Recorded Future ilisema. “Kwanza hukagua mfumo wa uendeshaji wa mtumiaji na aina ya kivinjari cha wavuti; hii ina uwezekano wa kuchuja mifumo endeshi isiyo ya Windows, kwani utendakazi huu utakatisha hati ikiwa Windows haitatambuliwa.” Taarifa ya kivinjari (yaani, Google Chrome au Microsoft Edge) hutumwa kwa seva ya mbali (update.maskrisks).[.]com), ambayo hurejesha kiolezo cha HTML ambacho ni toleo lililorekebishwa la ukurasa wa hitilafu wa cheti cha TLS cha kivinjari husika ambacho kwa kawaida huonyeshwa kunapokuwa na tatizo na cheti cha TLS cha mwenyeji. JavaScript, kando na kuonyesha arifa ya cheti bandia cha usalama, huanza kiotomatiki upakuaji wa cheti kinachodaiwa kuwa cha usalama cha kikoa *.dnspod[.]cn, lakini, kwa kweli, ni utekelezekaji uliotiwa saini halali ambao hupakia malipo ya Cobalt Strike Beacon kwa kutumia upakiaji wa upande wa DLL. Inafaa kuashiria katika hatua hii kwamba tovuti ya Tibet Post iliingiliwa kando na mwigizaji wa Evasive Panda kuhusiana na shimo la kumwagilia maji na shambulio la usambazaji maji lililolenga watumiaji wa Tibet angalau tangu Septemba 2023. Mashambulizi hayo yalisababisha kutumwa kwa milango ya nyuma inayojulikana kama MgBot na Nightdoor, ESET ilifunuliwa mapema Machi hii. Licha ya makutano haya muhimu ya mbinu, Recorded Future ilisema inaweka seti mbili za uingiliaji tofauti kutokana na “tofauti ya ukomavu” kati yao. “Shughuli inayozingatiwa na TAG-112 haina ustadi unaoonekana na TAG-102,” ilisema. “Kwa mfano, TAG-112 haitumii ufumbuzi wa JavaScript na hutumia Mgomo wa Cobalt, huku TAG-102 hutumia programu hasidi maalum. TAG-112 huenda ni kikundi kidogo cha TAG-102, kinachofanya kazi kwa kuzingatia mahitaji sawa au sawa ya kijasusi.” Umepata makala hii ya kuvutia? Tufuate kwenye Twitter na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.
Leave a Reply