Nowa chińska APT używa Group Policy do cyber-szpiegostwa w Azji

LongNosedGoblin wykorzystuje legalne mechanizmy Active Directory do wdrażania malware w sieciach rządowych Japonii i Azji Południowo-Wschodniej.

Nowo zidentyfikowana grupa APT powiązana z Chinami, nazwana LongNosedGoblin, prowadzi od co najmniej 2023 r. kampanie cyber-szpiegowskie przeciwko instytucjom rządowym w Japonii oraz krajach Azji Południowo-Wschodniej. Analizę działań grupy opublikował ESET.

Najbardziej niepokojącym elementem operacji jest nadużycie Group Policy w środowiskach Active Directory – zarówno jako mechanizmu dystrybucji malware, jak i narzędzia ruchu bocznego. Oznacza to, że atakujący dysponowali uprawnieniami administratora domeny i dostępem do kontrolera domeny, co wskazuje na pełny kompromis środowiska.

Co wiadomo o narzędziach grupy?

  • NosyHistorian – malware do analizy historii przeglądarek i wstępnej selekcji ofiar
  • NosyDoor – backdoor używający m.in. Microsoft OneDrive jako kanału C2
  • NosyDownloader – pobieranie i uruchamianie payloadów w pamięci
  • NosyLogger – keylogger

ESET podkreśla, że tylko niewielka część ofiar była dalej infekowana NosyDoor – w kodzie znaleziono mechanizmy ograniczające działanie malware do konkretnych maszyn (tzw. execution guardrails). Do tej pory potwierdzono mniej niż 12 ofiar, a poziom zaawansowania grupy oceniono jako umiarkowany.

Dlaczego to ważne?
Ataki z użyciem natywnych mechanizmów Windows (LOLBins, AD, GPO) są trudniejsze do wykrycia i często omijają tradycyjne zabezpieczenia endpointowe. To kolejny sygnał, że monitoring zmian w GPO i uprzywilejowanych kont domenowych powinien być absolutnym priorytetem w środowiskach rządowych i korporacyjnych.

Źródło:
Dark Reading

Popularne

Palo Alto Networks ofiarą łańcuchowego ataku na Salesforce
Chaos w Waszyngtonie blokuje wymianę informacji o cyberatakatach
Witamy na Sentry News
Cloudflare blokuje rekordowy atak DDoS – 11,5 Tbps