"קיסר הרפאים" הסיני שב לפעול בסייבר

נבלמה מתקפת סייבר שערכה קבוצת תקיפה מתוחכמת המשויכת לסין. חקירה שערך צוות סיגניה הישראלית חשפה דרכי פעולה חדשות של ההאקרים, ששבו לפעול.

קבוצת התקיפה בסייבר המדוברת מכונה Ghost Emperor (קיסר רפאים). חוקרי סיגניה חשפו פרטים טכניים חדשים על הכלי המתקדם ששימש לתקיפה, שבוצעה בסוף 2023 על ארגון גדול, שנפל קורבן למתקפה. הוא פנה לעזרת סיגניה, אחרי שהרשת שלו נפרצה ולאחר מכן נוצלה על מנת לחדור לרשת של ארגון נוסף.

"קיסר רפאים נחשבת לקבוצת תקיפה מתוחכמת הקשורה לסין", כתבו החוקרים בבלוג. בעבר היא מיקדה את מתקפות הסייבר שלה בעיקר נגד גופי תקשורת וממשל בדרום מזרח אסיה.

הקבוצה הסינית נחשפה על ידי חוקרי קספרסקי בספטמבר 2021. חבריה משתמשים בנוזקה מסוג rootkit בשם Demodex. זו מאפשרת לתוקף לקבל הרשאות גבוהות, כדי לפעול בצורה חשאית על תחנות הארגון ולהישאר מתחת לרדאר לאורך זמן.

"שינויים משמעותיים בשרשרת ההדבקה ובשיטות הטעינה" לעומת הממצאים הקודמים

החוקרים הציגו "שרשרת הדבקה" חדשה, שהופעלה על ידי חברי הקבוצה. זו כוללת כמה שלבי טעינה וטכניקות ערפול שונות, שמשמשות את הקבוצה להסוואת פעילותה ולהתחמקות ממערכות הגנה כמו EDR ואנטי וירוס.

לדברי דור ניזר, חוקר נוזקות בכיר בסיגניה, "בדרך כלל, ברגע שקבוצת התוקפים משיגה גישה ראשונית לתחנות ברשת הקורבן, למשל על ידי שימוש בחולשה או באמצעות תנועה רוחבית ברשת – מופעל קובץ אצווה (Batch file), שמאתחל את שרשרת ההדבקה. במהלך ניתוח הממצאים הפורנזיים שהופקו מסביבת הקורבן מצאנו דמיון רב למערך הכלים הרב שלבי שתואר בבלוג של קספרסקי. עם זאת, החקירה שלנו העלתה כמה שינויים משמעותיים בשרשרת ההדבקה ובשיטות הטעינה".

בין השינויים שנמצאו, ציינו החוקרים כי שרשרת ההדבקה שנחקרה משלבת מגוון טכניקות אחרות להתחמקות, הסתרה והסוואה – עד לשלב שבו מופעל הכלי, שבסופו של תהליך טוען את ה-Demodex. עוד זיהו החוקרים שימוש בשמות קבצים ובמפתחות שונים, וכן שגרסת כלי הליבה שאותה הם איתרו נעטפה בתאריך מאוחר יותר מזו שנחשפה על ידי קספרסקי.