Šta se desilo?

Grupa kineske napredne perzistentne pretnje (APT) iskoristila je nekoliko popularnih cloud usluga - uključujući Microsoft Outlook, Slack, Discord i file.io - kao kanal za komandu i kontrolu svoje špijunažne operacije usmerene prema Mongoliji. Napadači su na ovaj način izbegavali tradicionalne sigurnosne mehanizme i ostali sakriveni dok su izvršavali svoje aktivnosti.

Koga pogađa?

Primarni cilj su vladine institucije i strategijske organizacije u Mongoliji. Međutim, tehnike korišćene u ovim napadima mogu biti primenljive i na druge zemlje u regionu Centralne Azije, kao i na bilo koje organizacije koje prate kineske geopolitičke interese.

Kako se zaštititi?

  • Monitoruj neobičnu aktivnost na Slack, Discord i drugim komunikacijskim platformama koje koristi tvoja organizacija
  • Primeni stroge kontrole pristupa i autentifikaciju sa više faktora na cloud alatima
  • Regularno pregledaj log datoteke iz Microsoft Outlook-a i drugih usluga za sumnjive pristupe
  • Blokira ili ograniči pristup file.io i sličnim uslugama za privremeni transfer datoteka kroz mrežu
  • Obuki zaposlene da prepoznaju znakove kompromitovanih naloga i pokušaje socijalne inženjerije
  • Implementiraj naprednu analizu ponašanja korisnika (UEBA) da otkriješ anomalnu aktivnost

Tehnički detalji

APT grupa je koristila legitimne cloud servise kao infrastrukturu za komandu i kontrolu (C2). Umesto da postavi javno dostupne serverove, napadači su iskoristili pouzdane platforme koje organizacije obično dozvoljavaju u svojoj mrežnoj politici. Ovaj pristup čini detekciju značajno težom jer se maliciozni saobraćaj mešala sa legalnim cloud komunikacijama.

Preporuka Sajber Radara

Organizacije moraju da primene zero-trust pristup ka cloud servisima i da aktiviraju detaljno logovanje i monitoring svih aktivnosti. Posebna pažnja se preporučuje zemljama koje su geopolitički značajne za kineske interese, kao i organizacijama koje se bave diplomatijom, energetikom ili odbranskom industrijom.