## Kitajski kibernetska grožnja IcePeony: Kaj morate vedeti
Od leta 2023 je obstoj kibernetske grožnje, znane kot **IcePeony**, pritegnil pozornost strokovnjakov za kibernetsko varnost. Ta kitajska APT (napredna stalna grožnja) skupina je usmerjena predvsem na vladne in akademske institucije v državah, kot so Indija, Mavricij in Vietnam. IcePeony uporablja napadalne tehnike, kot so SQL injekcijski napadi, da bi se zlahka prebila v cilje, kar predstavlja resno grožnjo za nacionalno varnost.
### Napadna veriga IcePeony
IcePeony uporablja široko paleto orodij in tehnik, da bi učinkovito napadala cilje. Napadna veriga vključuje:
– **SQL vbrizgavanje:** Ta tehnika omogoča napadalcem dostop do podatkovnih baz in sistemov.
– **Kompromitacija spletne lupine:** Po uspešnem SQL vbrizganju napadalci pogosto namestijo zlonamerne skripte, ki jim omogočajo nadzor nad sistemom.
– **Zadnja vrata:** IcePeony uporablja različne vrste zadnjih vrat za trajen dostop do sistemov.
### Prilagojena zlonamerna programska oprema IceCache
IcePeony je znan po uporabi edinstvenih orodij, med katerimi izstopa **IceCache**, prilagojena zlonamerna programska oprema, ki temelji na IIS. Ta zlonamerna programska oprema se uporablja za krajo poverilnic in eksfiltracijo podatkov. Analize kažejo, da IceCache:
– **Podpira SOCKS posrednike:** To omogoča napadalcem, da skrbe za svoje omrežno komunikacijo.
– **Izvaja ukaze na oddaljenih sistemih:** Prek IceCache lahko napadalci izvajajo različne ukaze, kar povečuje njihovo usposobljenost za infiltracijo.
### Raziskave kažejo na kitajski izvor
Raziskava Nao_Sec razkriva, da IcePeony najverjetneje izvira iz Kitajske. Njihovo delovanje v časovnem pasu UTC+8 in uporaba prilagojenih orodij, kot je **IceCache**, sta lahko povezani s kitajskimi strateškimi interesi. Poleg tega se zdi, da njihovi napadi vključujejo metodične sisteme in orodja, ki so bila razvita v kitajskem govornem prostoru.
### Taktike in orodja IcePeony
IcePeony se zanaša na več stopenj napadov, pri čemer njihova taktika vključuje:
– **Zbiranje informacij:** Uporaba orodja, kot je **info.sh**, omogoča IcePeony, da zbira vredne podatke o sistemih, uporabnikih in omrežjih.
– **Vzpostavljanje povezave za dostop:** Skript **linux_back.sh** prenaša in izvaja zadnje lupine, kar olajša napadalcem dostop do kompromitiranih sistemov.
#### Zlonamerna programska oprema
IcePeony uporablja tudi **Diamorphine rootkit** in druge zlonamerne programe, kar dodatno komplikuje situacijo. Zelo pomembno je, da se zavedamo naslednjih točk:
– **IceCache in IceEvent:** Te ELF64 binarne datoteke, razvite v Go, so nameščene na IIS strežnikih in oddaljeno izvajane.
– **Nekatere funkcionalnosti:** Obe datoteki delita podobne značilnosti, kot so izvajanje ukazov in prenos datotek.
### Ugotovitve in strategije obrambe
IcePeony predstavlja resno grožnjo in se osredotoča na vladne in izobraževalne sektorje v državah, kot so Indija, Mavricij in Vietnam. To so nekateri razlogi:
– **Geopolitični interesi:** Napadi so lahko povezani s kitajsko strategijo na področju nacionalne varnosti.
– **Uporaba odprtokodnih orodij:** Zanimanje za odprtokodna orodja, ki izhajajo iz kitajskih regij, dodatno podpira teorijo, da IcePeony izhaja iz Kitajske.
### V kako izvedejo napade?
IcePeony izvaja napade na naslednje načine:
1. **Izkoristijo odprte ranljivosti:** Uporabijo SQL injekcijske napade za dostop do javno dostopnih spletnih strežnikov.
2. **Kompromitacija sistemov:** Z namestitvijo zlonamerne programske opreme za krajo poverilnic.
3. **Neprestano izboljševanje orodij:** Razvijalci IcePeony nenehno posodabljajo svojo zlonamerno programsko opremo, kar povečuje njeno uporabnost in učinkovitost.
Napadi IcePeony so se v preteklosti izkazali za izjemno uspešne, kar pomeni, da je potrebno neprekinjeno spremljanje in zaščita.
### Zaključek
IcePeony predstavlja novo in rastočo grožnjo, ki jo vodi kitajski izvor. Z zanimanjem opazujemo razvoj situacije in učinke, ki jih ima na našo varnost. Pomembno je, da ostanemo obveščeni in sprejemamo ustrezne ukrepe za zaščito pred takšnimi grožnjami.
Če želite izvedeti več o teh kibernetskih grožnjah in kako se zaščititi, vas vabimo, da se pogovorimo na naslednjem blogu: kitajski hekerji napadi.