Asurgent cybersäkerhetsblogg: Kinesiska cyberkriminella ekosystemet Del 3 av 3 – APT-grupper – Global expansion och verktygsanvändning

Global integration

Kinesiska cyberkriminella begränsar sig inte längre till inhemska plattformar utan har i allt större utsträckning börjat delta i internationella forum och marknader:

• Flerspråkig närvaro: Många kinesiska aktörer kommunicerar nu på engelska och ryska för att nå en bredare publik och få tillgång till fler resurser. Till exempel har kinesiska aktörer som zjdue123 och Binlangren91 varit aktiva på forum som XSS och RAMP, där de erbjuder tjänster som penetrationstester och initial åtkomst till nätverk.
• Internationella forum: Kinesiska användare har observerats på välkända engelska och ryska cyberkriminella forum som RAMP och BreachForums. Forum som RAMP har till och med anpassat sina gränssnitt för att attrahera kinesiska användare, vilket visar på en öppenhet för internationellt samarbete.
• Ömsesidigt intresse: Vissa internationella forum har aktivt försökt locka kinesiska användare, vilket tyder på ett erkännande av deras kompetens och potential. Till exempel har BreachForums välkomnat kinesiska användare efter att en stor databas från Shanghai National Police läcktes där.

Unika egenskaper

Trots integrationen i globala nätverk uppvisar kinesiska cyberkriminella vissa särskiljande drag:

1. Diskret tillvägagångssätt:
   Fokus på tjänster och erbjudanden snarare än öppna diskussioner.
   Användning av kodade språk och generella beskrivningar istället för explicita erbjudanden. Detta kan ses i hur kinesiska aktörer annonserar sina tjänster på Telegram, där de ofta använder kodade språk för att undvika upptäckt.
2. Begränsat ryktessystem:
   Till skillnad från många andra cyberkriminella gemenskaper saknas ofta etablerade system för att bygga och upprätthålla rykte.
   Prioritering av anonymitet framför långsiktig trovärdighet. Detta gör att kinesiska aktörer ofta förlitar sig på direktmeddelanden för att bygga förtroende.
3. Plattformspreferenser:
   Stark preferens för Telegram som primär kommunikationskanal. Telegram används för att annonsera tjänster, sälja stulna databaser och kreditkortsinformation, samt för att erbjuda hacking-tjänster.
   Mindre benägenhet att upprätthålla närvaro på flera webbaserade forum samtidigt.
4. Specialiserade tjänster:
   Erbjudande av unika tjänster som "KYC-material" (bilder av personer som håller ID-handlingar) för att kringgå identifieringskrav. Dessa tjänster är särskilt populära på Telegram-kanaler som Channel3, där användare kan köpa falska eller stulna ID-handlingar.
   Fokus på "cashing"-tjänster för att omvandla stulna kreditkortsuppgifter till kontanter eller varor. Channel4 är ett exempel på en Telegram-kanal som erbjuder sådana tjänster, där de köper varor som köpts med stulna kreditkort och sedan säljer dem vidare.

Kinesiska APT-grupper och deras användning av cyberbrottsplattformar

Ett intressant fenomen inom det kinesiska cyberkriminella ekosystemet är hur avancerade persistenta hotgrupper (APT) utnyttjar offentligt tillgängliga verktyg och plattformar. Trots att dessa grupper ofta utvecklar skräddarsydd malware, har de också observerats använda öppen källkod och kommersiella verktyg i sina attacker.

Varför använder APT-grupper offentliga verktyg?

Det finns flera anledningar till detta:

• Svårighetsgrad för detektion: Offentliga verktyg används av många och är välkända inom säkerhetsbranschen, vilket gör det svårare för säkerhetssystem att skilja mellan legitim användning och skadlig aktivitet.
• Tillgänglighet: Dessa verktyg är lättillgängliga och ofta öppna källor, vilket innebär att APT-grupper snabbt kan ladda ner, modifiera och använda dem utan att behöva utveckla egna verktyg från grunden.
   
• Täckning av spår: Offentliga verktyg kan hjälpa till att dölja APT-gruppernas spår eftersom deras användning inte direkt pekar mot en specifik aktör, till skillnad från egenutvecklade eller skräddarsydda verktyg.
• Flexibilitet och anpassningsbarhet: Offentliga verktyg kan ofta modifieras och anpassas för specifika behov, vilket ger APT-grupperna flexibilitet att justera sina angrepps tekniker beroende på målet.

Exempel på verktyg och grupper

1. Cobalt Strike Cat: En modifierad version av penetrationstestverktyget Cobalt Strike, använd av gruppen Budworm mot taiwanesiska myndigheter.
2. ONE-FOX: En samling penetrationstestverktyg som delats på kinesiska plattformar som WeChat.
3. Quasar: Ett öppet källkodsverktyg för fjärradministration som modifierats och använts av APT10 sedan 2016.
4. Poison Ivy: Ett äldre fjärradministrationsverktyg som använts av flera kinesiska APT-grupper, inklusive APT1, Gallium, Mustang Panda och APT10.
5. Mimikatz: Ett verktyg för att extrahera lösenord, hashvärden och Kerberos-biljetter från minnet.
    

Framtidsutsikter

Framtiden för det kinesiska cyberkriminella ekosystemet ser ut att präglas av fortsatt anpassning och integration i globala nätverk. Här är några möjliga utvecklingar:

• Ökad användning av krypterade plattformar: Telegram och liknande plattformar kommer sannolikt att fortsätta vara centrala för kinesiska cyberkriminella, särskilt med tanke på de strikta reglerna för internetanvändning i Kina.
• Mer sofistikerade attacker: Kombinationen av kinesiska och internationella metoder kan leda till mer avancerade och svårupptäckta cyberattacker. Kinesiska aktörer har visat sig vara skickliga på att anpassa sig till nya tekniker och metoder.
• Ökat internationellt samarbete: För att effektivt motverka dessa hot kommer det att krävas ökat samarbete mellan internationella brottsbekämpande myndigheter och cybersäkerhetsexperter. Detta inkluderar delning av information och gemensamma insatser för att spåra och stoppa cyberkriminella aktiviteter.
• Utveckling av nya tjänster: Kinesiska cyberkriminella kommer sannolikt att fortsätta utveckla och erbjuda nya typer av tjänster för att möta efterfrågan på den globala marknaden. Detta kan inkludera allt från avancerade hacking-tjänster till nya metoder för penningtvätt.

Slutsats

Det kinesiska cyberkriminella ekosystemet har visat sig vara både anpassningsbart och motståndskraftigt. Genom att integrera sig i globala nätverk samtidigt som de behåller vissa unika egenskaper, utgör dessa aktörer en komplex och evolverande utmaning för cybersäkerheten världen över.

För att effektivt motverka dessa hot krävs en djup förståelse för de kulturella, tekniska och operativa nyanserna i det kinesiska cyberkriminella landskapet. Endast genom kontinuerlig övervakning, internationellt samarbete och anpassningsbara säkerhetsstrategier kan vi hoppas hålla jämna steg med denna dynamiska hotaktör.

För att hjälpa våra kunder att skydda sig mot dessa sofistikerade hot erbjuder Asurgent omfattande Cyber Threat Intelligence (CTI) tjänster. Genom kontinuerlig övervakning och analys av hotlandskapet i realtid kan vi ge er den kritiska information ni behöver för att stärka ert cybersäkerhetsförsvar. Våra experter arbetar dedikerat för att hålla er uppdaterade om de senaste trenderna och taktikerna som används av kinesiska och andra cyberkriminella aktörer.

Genom att samarbeta med Asurgent får ni tillgång till:

Realtidsövervakning av relevanta forum, chattar och marknadsplatser
Skräddarsydda rapporter om hot som är specifika för er bransch och organisation
Proaktiva rekommendationer för att förbättra er säkerhetsställning
Låt oss hjälpa er att ligga steget före hotet. Kontakta Asurgent idag för att lära er mer om hur våra CTI-tjänster kan stärka ert informationssäkerhetsarbete och skydda era värdefulla digitala tillgångar.

Tack för att ni har följt med oss på denna resa genom det kinesiska cyberkriminella landskapet. Tillsammans kan vi bygga ett starkare försvar mot dagens och morgondagens cyberhot.