מתקפת סייבר מתוחכמת מהחזית הסינית: חשיפת הפרטים החדשים על Ghost Emperor
חברת הסייבר הישראלית סיגניה חושפת פרטים טכניים על מתקפת הסייבר המתקדמת של Ghost Emperor, קבוצת ההאקרים הסינית המתוחכמת
חברת הסייבר הישראלית סיגניה (Sygnia) סייעה לבלום מתקפת סייבר מצד קבוצת ההאקרים הסינית Ghost Emperor. הדו"ח החדש של סיגניה חושף פרטים טכניים מעמיקים על הכלי המתקדם ששימש לתקיפה, שבוצעה בסוף 2023 כנגד ארגון גדול. הארגון, שפנה לעזרת סיגניה לאחר שהרשת שלו נפרצה ונוצלה לחדור לרשת של ארגון נוסף, הצליח להתגונן בעזרת צוות סיגניה.
בבלוג החדש מציינים חוקרי סיגניה כי Ghost Emperor נחשבת לקבוצת תקיפה מתוחכמת הקשורה לסין, אשר מיקדה בעבר את מתקפות הסייבר שלה בעיקר כנגד גופי תקשורת וממשל בדרום מזרח אסיה. הקבוצה הסינית, שנחשפה לראשונה על ידי חברת קספרסקי בספטמבר 2021, עושה שימוש בתוכנה זדונית מסוג rootkit בשם Demodex, המאפשרת לתוקף לקבל הרשאות גבוהות ולפעול בצורה חשאית על תחנות הארגון ולהישאר מתחת לרדאר לאורך זמן.
בבלוג, חוקרי סיגניה חושפים לראשונה "שרשרת הדבקה" חדשה אשר הופעלה על ידי Ghost Emperor, הכוללת מספר שלבי טעינה (loading schemes) וטכניקות ערפול שונות המשמשות את הקבוצה להסוואת פעילותה ולהתחמקות ממערכות הגנה כמו EDR ואנטי-וירוס.
"בדרך כלל, ברגע שקבוצת התוקפים משיגה גישה ראשונית לתחנות ברשת הקורבן, למשל על ידי שימוש בחולשה או באמצעות תנועה רוחבית ברשת, מופעל קובץ אצווה (batch file) אשר מאתחל את שרשרת ההדבקה", מסביר דור ניזר, חוקר נוזקות בכיר בחברת סיגניה. במהלך ניתוח הממצאים הפורנזיים שהופקו מסביבת הקורבן, מצא צוות החוקרים של סיגניה דמיון רב לסט הכלים הרב-שלבי שתואר בבלוג של קספרסקי. עם זאת, החקירה של סיגניה העלתה כמה שינויים משמעותיים בשרשרת ההדבקה ובשיטות הטעינה.
בין השינויים שנמצאו, מתארים החוקרים כי שרשרת ההדבקה שנחקרה משלבת מגוון טכניקות אחרות להתחמקות, הסתרה והסוואה עד לשלב שבו מופעל באופן רפלקטיבי הכלי שבסופו של תהליך טוען את ה-Demodex. בנוסף, זיהו החוקרים שימוש בשמות קבצים ובמפתחות שונים, וכן כי גרסת כלי הליבה שאותרה נעטפה בתאריך מאוחר יותר מזו שנחשפה על ידי קספרסקי.
חברת הסייבר הישראלית סיגניה חושפת פרטים טכניים על מתקפת הסייבר המתקדמת של Ghost Emperor, קבוצת ההאקרים הסינית המתוחכמת
חברת הסייבר הישראלית סיגניה (Sygnia) סייעה לבלום מתקפת סייבר מצד קבוצת ההאקרים הסינית Ghost Emperor. הדו"ח החדש של סיגניה חושף פרטים טכניים מעמיקים על הכלי המתקדם ששימש לתקיפה, שבוצעה בסוף 2023 כנגד ארגון גדול. הארגון, שפנה לעזרת סיגניה לאחר שהרשת שלו נפרצה ונוצלה לחדור לרשת של ארגון נוסף, הצליח להתגונן בעזרת צוות סיגניה.
בבלוג החדש מציינים חוקרי סיגניה כי Ghost Emperor נחשבת לקבוצת תקיפה מתוחכמת הקשורה לסין, אשר מיקדה בעבר את מתקפות הסייבר שלה בעיקר כנגד גופי תקשורת וממשל בדרום מזרח אסיה. הקבוצה הסינית, שנחשפה לראשונה על ידי חברת קספרסקי בספטמבר 2021, עושה שימוש בתוכנה זדונית מסוג rootkit בשם Demodex, המאפשרת לתוקף לקבל הרשאות גבוהות ולפעול בצורה חשאית על תחנות הארגון ולהישאר מתחת לרדאר לאורך זמן.
בבלוג, חוקרי סיגניה חושפים לראשונה "שרשרת הדבקה" חדשה אשר הופעלה על ידי Ghost Emperor, הכוללת מספר שלבי טעינה (loading schemes) וטכניקות ערפול שונות המשמשות את הקבוצה להסוואת פעילותה ולהתחמקות ממערכות הגנה כמו EDR ואנטי-וירוס.
"בדרך כלל, ברגע שקבוצת התוקפים משיגה גישה ראשונית לתחנות ברשת הקורבן, למשל על ידי שימוש בחולשה או באמצעות תנועה רוחבית ברשת, מופעל קובץ אצווה (batch file) אשר מאתחל את שרשרת ההדבקה", מסביר דור ניזר, חוקר נוזקות בכיר בחברת סיגניה. במהלך ניתוח הממצאים הפורנזיים שהופקו מסביבת הקורבן, מצא צוות החוקרים של סיגניה דמיון רב לסט הכלים הרב-שלבי שתואר בבלוג של קספרסקי. עם זאת, החקירה של סיגניה העלתה כמה שינויים משמעותיים בשרשרת ההדבקה ובשיטות הטעינה.
בין השינויים שנמצאו, מתארים החוקרים כי שרשרת ההדבקה שנחקרה משלבת מגוון טכניקות אחרות להתחמקות, הסתרה והסוואה עד לשלב שבו מופעל באופן רפלקטיבי הכלי שבסופו של תהליך טוען את ה-Demodex. בנוסף, זיהו החוקרים שימוש בשמות קבצים ובמפתחות שונים, וכן כי גרסת כלי הליבה שאותרה נעטפה בתאריך מאוחר יותר מזו שנחשפה על ידי קספרסקי.