Kitajski hekerji izvajajo napade na strežnike z neopaznimi napadi spletnih lupin. IcePeony ustvarjalno prodira v spletne strežnike.

Kitajski hekerji izvajajo napade na strežnike z neopaznimi napadi spletnih lupin. IcePeony ustvarjalno prodira v spletne strežnike.

## Kitajski kibernetska grožnja IcePeony: Kaj morate vedeti

Od leta 2023 je obstoj kibernetske grožnje, znane kot **IcePeony**, pritegnil pozornost strokovnjakov za kibernetsko varnost. Ta kitajska APT (napredna stalna grožnja) skupina je usmerjena predvsem na vladne in akademske institucije v državah, kot so Indija, Mavricij in Vietnam. IcePeony uporablja napadalne tehnike, kot so SQL injekcijski napadi, da bi se zlahka prebila v cilje, kar predstavlja resno grožnjo za nacionalno varnost.

### Napadna veriga IcePeony

IcePeony uporablja široko paleto orodij in tehnik, da bi učinkovito napadala cilje. Napadna veriga vključuje:

– **SQL vbrizgavanje:** Ta tehnika omogoča napadalcem dostop do podatkovnih baz in sistemov.
– **Kompromitacija spletne lupine:** Po uspešnem SQL vbrizganju napadalci pogosto namestijo zlonamerne skripte, ki jim omogočajo nadzor nad sistemom.
– **Zadnja vrata:** IcePeony uporablja različne vrste zadnjih vrat za trajen dostop do sistemov.

### Prilagojena zlonamerna programska oprema IceCache

IcePeony je znan po uporabi edinstvenih orodij, med katerimi izstopa **IceCache**, prilagojena zlonamerna programska oprema, ki temelji na IIS. Ta zlonamerna programska oprema se uporablja za krajo poverilnic in eksfiltracijo podatkov. Analize kažejo, da IceCache:

– **Podpira SOCKS posrednike:** To omogoča napadalcem, da skrbe za svoje omrežno komunikacijo.
– **Izvaja ukaze na oddaljenih sistemih:** Prek IceCache lahko napadalci izvajajo različne ukaze, kar povečuje njihovo usposobljenost za infiltracijo.

### Raziskave kažejo na kitajski izvor

Raziskava Nao_Sec razkriva, da IcePeony najverjetneje izvira iz Kitajske. Njihovo delovanje v časovnem pasu UTC+8 in uporaba prilagojenih orodij, kot je **IceCache**, sta lahko povezani s kitajskimi strateškimi interesi. Poleg tega se zdi, da njihovi napadi vključujejo metodične sisteme in orodja, ki so bila razvita v kitajskem govornem prostoru.

### Taktike in orodja IcePeony

IcePeony se zanaša na več stopenj napadov, pri čemer njihova taktika vključuje:

– **Zbiranje informacij:** Uporaba orodja, kot je **info.sh**, omogoča IcePeony, da zbira vredne podatke o sistemih, uporabnikih in omrežjih.
– **Vzpostavljanje povezave za dostop:** Skript **linux_back.sh** prenaša in izvaja zadnje lupine, kar olajša napadalcem dostop do kompromitiranih sistemov.

#### Zlonamerna programska oprema

IcePeony uporablja tudi **Diamorphine rootkit** in druge zlonamerne programe, kar dodatno komplikuje situacijo. Zelo pomembno je, da se zavedamo naslednjih točk:

– **IceCache in IceEvent:** Te ELF64 binarne datoteke, razvite v Go, so nameščene na IIS strežnikih in oddaljeno izvajane.
– **Nekatere funkcionalnosti:** Obe datoteki delita podobne značilnosti, kot so izvajanje ukazov in prenos datotek.

### Ugotovitve in strategije obrambe

IcePeony predstavlja resno grožnjo in se osredotoča na vladne in izobraževalne sektorje v državah, kot so Indija, Mavricij in Vietnam. To so nekateri razlogi:

– **Geopolitični interesi:** Napadi so lahko povezani s kitajsko strategijo na področju nacionalne varnosti.
– **Uporaba odprtokodnih orodij:** Zanimanje za odprtokodna orodja, ki izhajajo iz kitajskih regij, dodatno podpira teorijo, da IcePeony izhaja iz Kitajske.

### V kako izvedejo napade?

IcePeony izvaja napade na naslednje načine:

1. **Izkoristijo odprte ranljivosti:** Uporabijo SQL injekcijske napade za dostop do javno dostopnih spletnih strežnikov.
2. **Kompromitacija sistemov:** Z namestitvijo zlonamerne programske opreme za krajo poverilnic.
3. **Neprestano izboljševanje orodij:** Razvijalci IcePeony nenehno posodabljajo svojo zlonamerno programsko opremo, kar povečuje njeno uporabnost in učinkovitost.

Napadi IcePeony so se v preteklosti izkazali za izjemno uspešne, kar pomeni, da je potrebno neprekinjeno spremljanje in zaščita.

### Zaključek

IcePeony predstavlja novo in rastočo grožnjo, ki jo vodi kitajski izvor. Z zanimanjem opazujemo razvoj situacije in učinke, ki jih ima na našo varnost. Pomembno je, da ostanemo obveščeni in sprejemamo ustrezne ukrepe za zaščito pred takšnimi grožnjami.

Če želite izvedeti več o teh kibernetskih grožnjah in kako se zaščititi, vas vabimo, da se pogovorimo na naslednjem blogu: kitajski hekerji napadi.

Leave a Reply

Your email address will not be published. Required fields are marked *