Гүйцэтгэх товчлол
Tropic Trooper (мөн KeyBoy болон Pirate Panda гэгддэг) нь 2011 оноос хойш идэвхтэй үйл ажиллагаа явуулж буй APT бүлэг юм. Энэ бүлэг нь уламжлалт байдлаар Тайвань, Филиппин, Хонг Конг дахь засгийн газар, эрүүл мэнд, зам тээвэр, өндөр технологийн үйлдвэр зэрэг салбаруудыг чиглүүлдэг. Бидний саяхны судалгаагаар 2024 онд тэд 2023 оны 6-р сараас эхлэн Ойрхи Дорнод дахь төрийн байгууллагыг онилсон байнгын кампанит ажил явуулсан нь тогтоогдсон.
Ойрхи Дорнодын засгийн газрын чухал байгууллагууд, ялангуяа хүний эрхийн судалгаатай холбоотой энэ бүлгийн TTP-үүдийг олж харах нь тэдний хувьд шинэ стратегийн алхам болж байна. Энэ нь аюул заналхийлэгчийн сэдлийг илүү сайн ойлгоход аюул заналхийллийн тагнуулын нийгэмлэгт тусална.
2024 оны 6-р сард манай телеметр нь олон нийтийн вэб серверээс олдсон China Chopper вэб бүрхүүлийн шинэ хувилбарын (хятад хэлээр ярьдаг олон жүжигчдийн ашигладаг) талаар дахин анхааруулга өгөх үед халдвар бидний анхаарлыг татсан. Сервер нь C# хэл дээр бичигдсэн Umbraco хэмээх нээлттэй эх сурвалжийн агуулгын удирдлагын системийг (CMS) байршуулсан. Ажиглагдсан вэб бүрхүүлийн бүрэлдэхүүн хэсгийг Umbraco CMS-ийн .NET модуль болгон эмхэтгэсэн.
Бид дараагийн мөрдөн байцаалтын явцад энэ нийтийн сервер дээр илүү сэжигтэй илрүүлэлтүүдийг хайж, олон хортой программ хангамжийг илрүүлсэн. Эдгээрт мөлжлөгийн дараах хэрэгслүүд багтдаг бөгөөд бидний дунд итгэлтэйгээр үнэлж байгаа бөгөөд энэ халдлагтай холбоотой бөгөөд үүнд ашиглагдаж байна.
Цаашилбал, бид DLL-д шаардлагатай DLL-д хүрэх замыг бүрэн зааж өгөөгүй тул хууль ёсны эмзэг гүйцэтгэгчээс ачаалагдсан шинэ DLL хайлтын захиалгын хулгайлах суулгацуудыг олж тогтоосон. Энэхүү довтолгооны сүлжээ нь ESET-ээс нарийвчлан тодорхойлсон SparrowDoor арын хаалганы нэрээр хагас нэртэй Crowdoor ачигчийг ачаалах гэж оролдсон. Довтолгооны үеэр хамгаалалтын ажилтан Crowdoor-ын анхны ачигчийг хааж, халдагчид бараг ижил нөлөө үзүүлсэн, урьд өмнө нь мэдээлээгүй шинэ хувилбар руу шилжихийг уриалав.
Бид энэ үйл ажиллагааг маш их итгэлтэй, Tropic Trooper гэгддэг Хятад хэлээр ярьдаг заналхийлэгчтэй холбон тайлбарлаж байна. Бидний олж мэдсэн зүйл бол сүүлийн үеийн Tropic Trooper кампанит ажилд мэдээлсэн техникүүд хоорондоо давхцаж байгааг харуулж байна. Бидний олсон дээжүүд нь өмнө нь Tropic Trooper-тэй холбоотой дээжүүдтэй давхцаж байгааг харуулж байна.
Суурь
2024 оны 6-р сард бид алдартай China Chopper вэб бүрхүүлийн шинэ хувилбарыг илрүүлсэн. Umbraco CMS доторх модулийг төлөөлж, Umbraco хянагчаар дамжуулан тушаалуудыг хүлээн авч байгаа тул нэмэлт судалгаа явуулсан.
Umbraco-г байршуулсан олон нийтийн сервер дээр бид бусад сэжигтэй суулгацууд болон хортой програмын кластеруудыг олсон нь ижил халдлагын нэг хэсэг бололтой. Суулгасан хамгаалалтын агент нь эдгээр хортой програм суулгацыг илрүүлсээр байсан бөгөөд халдагчид үндсэн зорилгодоо хүрэхийн тулд мөлжлөгийн дараах нэмэлт хэрэгслийг хаяхыг оролдсон: энэхүү халдлагын сэдэл нь кибер тагнуул гэж бид өндөр итгэлтэйгээр үнэлдэг.
Доорх хүснэгтэд энэ халдлагатай холбоотой илэрсэн хортой програмын бүлгүүдийг харуулав. Энэхүү тайлангийн дараагийн хэсгүүдэд эдгээр хортой програмын кластеруудын техникийн шинжилгээг өгсөн болно.
