{"id":8450,"date":"2025-10-14T09:01:23","date_gmt":"2025-10-14T07:01:23","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=8450"},"modified":"2025-10-14T09:01:23","modified_gmt":"2025-10-14T07:01:23","slug":"phantom-taurus-koristi-net-star-backdoor","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2025\/10\/14\/phantom-taurus-koristi-net-star-backdoor\/","title":{"rendered":"Phantom Taurus koristi NET-STAR backdoor"},"content":{"rendered":"<p><em>Phantom Taurus<\/em>, ranije nepoznati akter, prema <a href=\"https:\/\/unit42.paloaltonetworks.com\/phantom-taurus\/\" target=\"_blank\" rel=\"noopener\">izvje\u0161taju <em>Unit 42<\/em> kompanije <em>Palo Alto Networks<\/em><\/a>, povezan je sa napadima koji su karakteristi\u010dni za <a href=\"https:\/\/sajberinfo.com\/en\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\">napredne trajne prijetnje<\/a> (eng. <em>advanced persistent threat \u2013 APT<\/em>). Ovi napadi usmjereni su na vladine agencije i telekomunikacione organizacije \u0161irom Afrike, Azije i Bliskog istoka uz kori\u0161tenje <em>NET-STAR<\/em>, <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> bez datoteka koji omogu\u0107ava <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\">tajni pristup<\/a> sistemima.<\/p>\n<div id=\"attachment_8452\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-8452\" class=\"size-full wp-image-8452\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/10\/Phantom-Taurus-APT.jpg\" alt=\"Phantom Taurus\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/10\/Phantom-Taurus-APT.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/10\/Phantom-Taurus-APT-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/10\/Phantom-Taurus-APT-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/10\/Phantom-Taurus-APT-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/10\/Phantom-Taurus-APT-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/10\/Phantom-Taurus-APT-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/10\/Phantom-Taurus-APT-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-8452\" class=\"wp-caption-text\"><em>Phantom Taurus koristi NET-STAR backdoor; Source: Bing Image Creator<\/em><\/p><\/div>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_84 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"http:\/\/sajberinfo.com\/en\/2025\/10\/14\/phantom-taurus-koristi-net-star-backdoor\/#IDENTIFIKACIJA\" >IDENTIFIKACIJA<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"http:\/\/sajberinfo.com\/en\/2025\/10\/14\/phantom-taurus-koristi-net-star-backdoor\/#Operacija_Diplomatski_spektar\" >Operacija Diplomatski spektar<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"http:\/\/sajberinfo.com\/en\/2025\/10\/14\/phantom-taurus-koristi-net-star-backdoor\/#Promjena_taktike\" >Promjena taktike<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"http:\/\/sajberinfo.com\/en\/2025\/10\/14\/phantom-taurus-koristi-net-star-backdoor\/#NET-STAR_TAJNI_PRISTUP\" >NET-STAR TAJNI PRISTUP<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"http:\/\/sajberinfo.com\/en\/2025\/10\/14\/phantom-taurus-koristi-net-star-backdoor\/#IIServerCore\" >IIServerCore<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"http:\/\/sajberinfo.com\/en\/2025\/10\/14\/phantom-taurus-koristi-net-star-backdoor\/#Dvije_nove_varijante_NET_ucitavaca\" >Dvije nove varijante .NET u\u010ditava\u010da<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"http:\/\/sajberinfo.com\/en\/2025\/10\/14\/phantom-taurus-koristi-net-star-backdoor\/#PHANTOM_TAURUS_APT\" >PHANTOM TAURUS APT<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"http:\/\/sajberinfo.com\/en\/2025\/10\/14\/phantom-taurus-koristi-net-star-backdoor\/#UTICAJ\" >UTICAJ<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"http:\/\/sajberinfo.com\/en\/2025\/10\/14\/phantom-taurus-koristi-net-star-backdoor\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"http:\/\/sajberinfo.com\/en\/2025\/10\/14\/phantom-taurus-koristi-net-star-backdoor\/#ZASTITA\" >ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"IDENTIFIKACIJA\"><\/span><strong>IDENTIFIKACIJA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Otkri\u0107e grupe zlonamjernih aktera, za koje se vjeruje da su dr\u017eavno sponzorisani i koji su ozna\u010deni kao <em>Phantom Taurus<\/em>, ima zna\u010dajan uticaj na globalnu <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednost<\/a>, naro\u010dito u regionima kao \u0161to su Afrika, Bliski istok i Azija. Ova novoidentifikovana grupa, koja se primarno bavi \u0161pijuna\u017eom, pripisuje se Kini i tokom perioda od dvije i po godine aktivno je ciljala vladine organe i telekomunikacione kompanije.<\/p>\n<p>Primarni cilj grupe <em>Phantom Taurus<\/em> jeste prikupljanje osjetljivih obavje\u0161tajnih podataka od svojih meta, sa jasnim naglaskom na dugoro\u010dne strate\u0161ke svrhe. Njihov fokus na ministarstva spoljnih poslova, ambasade, vojne operacije i diplomatsku prepisku ukazuje na interesovanje za informacije koje se odnose na geopoliti\u010dke doga\u0111aje i regionalne sukobe. Ovakav nivo specifi\u010dnosti u izboru meta svjedo\u010di o visokom stepenu sofisticiranosti i koordinacije unutar grupe.<\/p>\n<p>Vrijeme mnogih upada koji se pripisuju <em>Phantom Taurus<\/em> poklapa se sa me\u0111unarodnim krizama i regionalnim sukobima, \u0161to jasno ukazuje na blisku uskla\u0111enost njihovih aktivnosti sa geopoliti\u010dkim prioritetima. Ova vremenska korelacija posebno je zna\u010dajna, jer implicira da operacije grupe nisu rezultat pukih oportunisti\u010dkih napada, ve\u0107 dio \u0161ireg strate\u0161kog plana.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Operacija_Diplomatski_spektar\"><\/span><strong>Operacija Diplomatski spektar<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Kampanju Operacija Diplomatski spektar prvi put je primijetila <em>Unit 42 kompanije Palo Alto Networks<\/em> 2023. godine, pod privremenom oznakom <em>CL-STA-0043<\/em>. Ova operacija ozna\u010dila je zna\u010dajnu eskalaciju aktivnosti grupe <em>Phantom Taurus<\/em>, jer je objedinjavala vi\u0161estruke upade i istovremeno uspostavila posebnog aktera unutar \u0161ireg pejza\u017ea sajber \u0161pijuna\u017ee.<\/p>\n<p>Tokom perioda posmatranja, grupa je usmjerila napade na <em>Exchange<\/em> servere, koriste\u0107i zlonamjerni softver <em>TunnelSpecter<\/em> i <em>SweetSpecter<\/em> kako bi neprimjetno izdvajala \u010ditave po\u0161tanske sandu\u010di\u0107e u potrazi za osjetljivim klju\u010dnim rije\u010dima. Ovi alati, posebno dizajnirani da izbjegnu otkrivanje od strane bezbjednosnog softvera, omogu\u0107ili su <em>Phantom<\/em> <em>Taurus<\/em> grupi pristup ogromnim koli\u010dinama podataka sa\u010duvanih u sandu\u010di\u0107ima zaposlenih i prikupljanje vrijednih informacija bez direktne interakcije sa infrastrukturom baze podataka.<\/p>\n<p>Koordinacija operacija u okviru Operacije Diplomatski spektar sugeri\u0161e da je <em>Phantom<\/em> <em>Taurus<\/em> vremenom razvio napredniji pristup u svojim aktivnostima napada. Konsolidacijom napora u jednu kampanju, grupa je vjerovatno unaprijedila operativnu efikasnost i sposobnost koordinacije, \u010dime je dodatno pove\u0107ala svoj uticaj i prepoznatljivost.<\/p>\n<p>Istra\u017eiva\u010di su 2024. godine izdvojili <em>Phantom<\/em> <em>Taurus<\/em> kao posebnog aktera, nakon zavr\u0161etka Operacije Diplomatski spektar. Ovo razdvajanje bilo je od velikog zna\u010daja, jer je ozna\u010dilo priznanje da se grupa pojavljuje kao jedinstveni entitet unutar pejza\u017ea naprednih trajnih prijetnji (<em>APT<\/em>). Razlika izme\u0111u <em>Phantom<\/em> <em>Taurus<\/em> i drugih zlonamjernih aktera nagla\u0161ava njen zna\u010daj kao posebnog vektora prijetnje, sa sposobno\u0161\u0107u da kombinuje strate\u0161ku usmjerenost i tehni\u010dku sofisticiranost.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Promjena_taktike\"><\/span><strong>Promjena taktike<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Po\u010detkom 2025. godine sigurnosni istra\u017eiva\u010di su zabilje\u017eili zna\u010dajnu promjenu u taktikama grupe <em>Phantom<\/em> <em>Taurus<\/em>. Umjesto dotada\u0161njih kampanja usmjerenih na elektronsku po\u0161tu, grupa je po\u010dela da koristi automatizovani skript pod nazivom \u201e<em>mssq.bat<\/em>\u201c za povezivanje sa <em>Microsoft<\/em> <em>SQL<\/em> <em>Server<\/em> bazama podataka pomo\u0107u ukradenih administratorskih podataka za prijavu. Ovaj pristup ozna\u010dio je veliku evoluciju u njihovom djelovanju, jer im je omogu\u0107io da se daljinski pove\u017eu sa bazama, izvr\u0161avaju precizne upite i izdvajaju podatke u <em>CSV<\/em> datoteke, bez direktne interakcije sa infrastrukturom elektronske po\u0161te.<\/p>\n<p>Automatizovano skriptovanje putem <em>Windows<\/em> infrastrukture za upravljanje (eng. <em>Windows Management Instrumentation \u2013 WMI<\/em>) dodatno je pove\u0107alo prikrivenost njihovih aktivnosti, jer su operacije mogle biti sprovedene bez ostavljanja tragova nakon svake sesije. Ovaj nivo sofisticiranosti svjedo\u010di o sposobnosti grupe da prilagodi taktiku u skladu sa evoluiraju\u0107im bezbjednosnim mjerama. Kori\u0161tenjem automatizovanih skripti, <em>Phantom<\/em> <em>Taurus<\/em> je mogao da odr\u017ei postojanost na kompromitovanim sistemima, a istovremeno smanji svoj digitalni otisak.<\/p>\n<p>Upotreba ukradenih administratorskih podataka za prijavu dodatno nagla\u0161ava fokus grupe na preciznost i prikrivenost. Oslanjaju\u0107i se na legitimne metode pristupa, uspjeli su da smanje rizik od otkrivanja tradicionalnim bezbjednosnim softverom, dok su istovremeno prikupljali visoko osjetljive informacije direktno iz infrastrukture baza podataka, bez potrebe za interakcijom sa serverima elektronske po\u0161te ili drugim sistemima.<\/p>\n<p>Posebno je zna\u010dajno \u0161to su istra\u017eiva\u010di otkrili da je <em>Phantom<\/em> <em>Taurus<\/em> razvio <em>.NET<\/em> paket zlonamjernih programa pod nazivom <em>NET-STAR<\/em>, dizajniran za infiltraciju <em>IIS<\/em> internet servera i rad bez datoteka na disku. Ovaj alat omogu\u0107ava izvr\u0161avanje k\u00f4da i upita direktno u memoriji, \u010dime se izbjegava moderna odbrana i obezbje\u0111uje dugoro\u010dna postojanost na kompromitovanim sistemima.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"NET-STAR_TAJNI_PRISTUP\"><\/span><strong><em>NET-STAR<\/em> TAJNI PRISTUP<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><em>NET-STAR<\/em>, <em>.NET<\/em> paket zlonamjernih programa, razvijen je da cilja internet servere Internet informacionih servisa (eng. <em>Internet Information Services \u2013 IIS<\/em>) i pokazuje napredne tehnike izbjegavanja, kao i duboko razumijevanje <em>.NET<\/em> arhitekture od strane grupe <em>Phantom<\/em> <em>Taurus<\/em>. Kori\u0161tenje ovog alata predstavlja ozbiljnu prijetnju serverima dostupnim preko interneta, jer omogu\u0107ava odr\u017eavanje postojanosti unutar ciljanog okru\u017eenja i istovremeno izvr\u0161avanje klju\u010dnih uloga u lancu napada.<\/p>\n<p>Sam <em>NET-STAR<\/em> paket sastoji se od tri razli\u010dita internet-bazirana softvera za tajni pristup: <em>IIServerCore<\/em>, <em>AssemblyExecuter<\/em> <em>V1<\/em> i <em>AssemblyExecuter<\/em> <em>V2<\/em>. Ova modularna struktura dodatno pro\u0161iruje mogu\u0107nosti grupe, omogu\u0107avaju\u0107i im da prilagode napade razli\u010ditim okru\u017eenjima i da ostanu neprimije\u0107eni u kompromitovanim sistemima.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"IIServerCore\"><\/span><strong><em>IIServerCore<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Glavna komponenta <em>NET-STAR<\/em> paketa zlonamjernih programa je <em>IIServerCore<\/em>, modularni softver za tajni pristup bez datoteka, koji u potpunosti radi u memoriji unutar Internet informacionih servisa (<em>IIS<\/em>), odnosno radnog procesa \u201e<em>w3wp.exe<\/em>\u201c. Nakon \u0161to ga u\u010dita komponenta za prihvatanje internet komandi, <em>IIServerCore<\/em> preuzima dodatne <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisne terete<\/a> i argumente, izvr\u0161ava ih u memoriji i rezultate \u0161alje kroz <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovani<\/a> komunikacioni kanal za komande i kontrolu (<em>C2<\/em>). Njegov jedinstveni modularni tok izvr\u0161avanja omogu\u0107ava dinami\u010dko u\u010ditavanje i pokretanje razli\u010ditih funkcionalnosti bez zapisivanja k\u00f4da na disk, \u0161to zna\u010dajno ote\u017eava sigurnosnim analiti\u010darima otkrivanje, jer ne ostavlja digitalni trag na kompromitovanom sistemu.<\/p>\n<p>Po\u010detna komponenta <em>IIServerCore<\/em> softvera je <em>ASPX<\/em> skripta za daljinsko upravljanje serverom pod nazivom <em>OutlookEN.aspx<\/em>, koja sadr\u017ei <em>Base64<\/em> kompresovanu binarnu datoteku \u2013 sam tajni pristup. Kada se izvr\u0161i, skripta u\u010ditava tajni pristup u memoriju i poziva glavnu funkciju, metodu <em>Run<\/em>. Da bi izbjegao otkrivanje, <em>Phantom<\/em> <em>Taurus<\/em> je izmijenio vremenske oznake ne samo ove skripte, ve\u0107 i samog <em>IIServerCore<\/em> modula, mijenjaju\u0107i vrijeme kompilacije na nasumi\u010dne budu\u0107e datume kako bi prikrio stvarno porijeklo zlonamjernog softvera. Grupa posjeduje mogu\u0107nost izmjene vremenskih oznaka pomo\u0107u komande <em>changeLastModified<\/em>, \u0161to dodatno ote\u017eava rad sigurnosnim analiti\u010darima i alatima digitalne forenzike.<\/p>\n<p>Tajni pristup <em>IIServerCore<\/em> sastoji se od jedanaest metoda koje pru\u017eaju razli\u010dite funkcionalnosti. Glavna metoda, <em>Run<\/em>, prima dolaznu komunikaciju sa <em>C2<\/em> servera i obra\u0111uje sve operacije zlonamjernog softvera \u2013 od po\u010detnih zahtjeva za uspostavljanje sesija do naknadnih zahtjeva za izvr\u0161avanje komandi. U okviru upravljanja stanjem sesije pomo\u0107u kola\u010di\u0107a, <em>IIServerCore<\/em> de\u0161ifruje dolazne komande i korisne terete, u\u010ditava .<em>NET<\/em> k\u00f4d iz <em>Base64<\/em> k\u00f4diranih sklopova, podr\u017eava <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanje<\/a> podataka, operacije sistema datoteka, pristup bazama podataka uklju\u010duju\u0107i pokretanje <em>SQL<\/em> komandi, proizvoljno izvr\u0161avanje k\u00f4da, rukovanje skriptama za daljinski pristup, zaobila\u017eenje antivirusne za\u0161tite kroz izbjegavanje <em>AMSI<\/em> funkcionalnosti, \u0161ifrovanu komunikaciju sa komandno-kontrolnim serverom, kao i izvr\u0161avanje sadr\u017eaja isklju\u010divo u memoriji, bez zapisivanja na disk.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Dvije_nove_varijante_NET_ucitavaca\"><\/span><strong>Dvije nove varijante .<em>NET<\/em> u\u010ditava\u010da<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Druga komponenta <em>NET-STAR<\/em> paketa je <em>AssemblyExecuter V1<\/em> i njegova pobolj\u0161ana verzija <em>V2<\/em>. Rije\u010d je o dvjema varijantama <em>.NET<\/em> zlonamjernog softvera za Internet informacione servise (<em>IIS<\/em>), dizajniranog da izvr\u0161ava druge <em>.NET<\/em> sklopove direktno u memoriji, bez njihovog zapisivanja na disk. <em>AssemblyExecuter V1<\/em> u\u010ditava izvr\u0161ni k\u00f4d programskog modula kao ulazne parametre, koristi metodu <em>.NET Assembly.Load()<\/em> da ga smjesti u memoriju i zatim poziva ulaznu ta\u010dku zajedno sa argumentima komandne linije. Njegova benigna struktura k\u00f4da dovela je do smanjenog ozna\u010davanja od strane antivirusnih motora na <em>VirusTotal<\/em> platformi tokom po\u010detne analize, \u0161to pokazuje tehniku kojom zlonamjerni akteri mogu razvijati alate koji izbjegavaju otvoreno otkrivanje.<\/p>\n<p><em>AssemblyExecuter V2<\/em> zadr\u017eava osnovnu funkcionalnost prethodne verzije, ali uvodi namjenske metode za zaobila\u017eenje okru\u017eenja za skeniranje protiv zlonamjernog softvera (eng. <em>antimalware scan interface \u2013 AMSI<\/em>) i <em>Windows<\/em> pra\u0107enje doga\u0111aja (eng. <em>event tracing for Windows \u2013 ETW<\/em>) bezbjednosnih mehanizama. Ove metode se aktiviraju dinami\u010dki, u zavisnosti od ulaznih parametara, \u0161to omogu\u0107ava zlonamjernim akterima da selektivno onemogu\u0107e bezbjednosne kontrole u skladu sa konfiguracijom ciljanog okru\u017eenja. Na taj na\u010din <em>V2<\/em> predstavlja sofisticiraniji alat, sposoban da se prilagodi razli\u010ditim uslovima i dodatno pove\u0107a prikrivenost aktivnosti grupe <em>Phantom<\/em> <em>Taurus<\/em>.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"PHANTOM_TAURUS_APT\"><\/span><strong><em>PHANTOM TAURUS APT<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><em>Phantom Taurus <\/em>je dr\u017eavno sponzorisana grupa zlonamjernih aktera \u010dije su aktivnosti uskla\u0111ene sa strate\u0161kim interesima Kine. Pojavila se oko 2023. godine, usmjeravaju\u0107i napade na vladine i telekomunikacione organizacije \u0161irom Afrike, Bliskog istoka i Azije. U po\u010detku je bila dokumentovana pod oznakom <em>TGR-STA-0043<\/em>, da bi kasnije, zbog specifi\u010dnog profila prijetnje, bila formalno identifikovana kao <em>Phantom Taurus<\/em>.<\/p>\n<p>Njihovo djelovanje zasniva se na \u0161pijuna\u017ei obilje\u017eenoj prikriveno\u0161\u0107u, uporno\u0161\u0107u i brzom adaptacijom taktika, tehnika i procedura. Me\u0111u zna\u010dajnijim operacijama isti\u010de se Diplomatski spektar, usmjeren na ministarstva spoljnih poslova, ambasade, geopoliti\u010dke doga\u0111aje i vojne aktivnosti. Obrasci ciljanja dosljedno prate ekonomske i geopoliti\u010dke prioritete Kine, sa posebnim interesovanjem za diplomatske komunikacije, obavje\u0161tajne podatke o odbrani i rad klju\u010dnih dr\u017eavnih institucija. \u010cinjenica da su kampanje \u010desto koincidirale sa globalnim krizama i regionalnim bezbjednosnim pitanjima ukazuje na pa\u017eljivo planiran pristup \u0161irenju uticaja.<\/p>\n<p><em>Phantom<\/em> <em>Taurus<\/em> se dodatno izdvaja kori\u0161tenjem specijalno razvijenih alata i tehnika, rijetko prisutnih u okru\u017eenju prijetnji. Grupa se oslanja na zajedni\u010dku kinesku infrastrukturu naprednih trajnih prijetnji (<em>APT<\/em>), koju koriste i druge poznate formacije poput <em>Iron Taurus<\/em> (<em>APT27<\/em>), <em>Starchy Taurus<\/em> (<em>Winnti<\/em>) i <em>Stately Taurus<\/em> (<em>Mustang<\/em> <em>Panda<\/em>). Ipak, njihov karakteristi\u010dan modus operandi jasno ih razlikuje od ostalih kineskih naprednih trajnih prijetnji (<em>APT<\/em>).<\/p>\n<p>Tokom vremena, operacije su evoluirale i postale naprednije. Kontinuirano pra\u0107enje otkriva jedinstven arsenal alata i metoda, me\u0111u kojima se posebno izdvaja prelazak na strukturisano prikupljanje obavje\u0161tajnih podataka kroz ciljanje <em>SQL<\/em> baza i izvoz informacija putem skripti za <em>Windows<\/em> infrastrukturu za upravljanje (<em>WMI<\/em>). Ovaj razvoj potvr\u0111uje sposobnost grupe da se prilago\u0111ava i odr\u017eava prednost u dinami\u010dnom okru\u017eenju sajber prijetnji.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"UTICAJ\"><\/span><strong>UTICAJ<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Pojava <em>Phantom<\/em> <em>Taurus<\/em> grupe kao zna\u010dajne sajber prijetnje ima dalekose\u017ean uticaj na globalni pejza\u017e sajber bezbjednosti. Njene aktivnosti precizno ciljaju vladine i telekomunikacione organizacije, \u0161to ukazuje na zabrinjavaju\u0107i trend u sve \u010de\u0161\u0107im \u0161pijunskim kampanjama.<\/p>\n<p>Posljedice ovakvih akcija vi\u0161estruke su i duboke, jer prevazilaze puko ugro\u017eavanje podataka ili sistema. Pogo\u0111eni entiteti suo\u010davaju se sa ozbiljnim rizicima: osjetljive informacije vezane za nacionalnu bezbjednost, ekonomske interese i diplomatske odnose mogu zavr\u0161iti u pogre\u0161nim rukama. To mo\u017ee dovesti do gubitka povjerenja me\u0111u partnerima, ote\u017eanog dono\u0161enja odluka, pa \u010dak i do fizi\u010dke \u0161tete u ekstremnim okolnostima. Dodatno, ozlogla\u0161enost koja prati djelovanje <em>Phantom<\/em> <em>Taurus<\/em> grupe stvara atmosferu straha i neizvjesnosti unutar ciljanih zajednica.<\/p>\n<p>\u0160iri uticaji na sajber bezbjednost u cjelini jednako su zabrinjavaju\u0107i. Kako se ovaj zlonamjerni akter razvija i usavr\u0161ava svoje taktike, postoji velika vjerovatno\u0107a da \u0107e i drugi sli\u010dni entiteti pratiti njegov primjer i prilago\u0111avati sopstvene strategije u skladu sa dinami\u010dnim mjerama za\u0161tite. Time se stvara svojevrsna \u201c<em>igra ma\u010dke i mi\u0161a<\/em>\u201d izme\u0111u zlonamjernih aktera i branilaca, u kojoj prvi stalno pomjeraju granice mogu\u0107eg.<\/p>\n<p>Ni korisnici nisu po\u0161te\u0111eni posljedica. \u010cak i nesvjesno mogu biti uvu\u010deni u aktivnosti <em>Phantom<\/em> <em>Taurus <\/em>grupe, pri \u010demu kompromitovane ili manipulisane informacije naru\u0161avaju povjerenje u institucije i sisteme. Takav gubitak povjerenja mo\u017ee oslabiti dru\u0161tvenu povezanost, a u krajnjem slu\u010daju izazvati i gra\u0111anske nemire.<\/p>\n<p>Pored direktnih posljedica, postoji i indirektan uticaj vrijedan pa\u017enje: gu\u0161enje inovacija i napretka u pogo\u0111enim sektorima. Strah od toga da postanu meta mo\u017ee navesti organizacije da usvoje pretjerano oprezne bezbjednosne politike, \u0161to ograni\u010dava njihovu sposobnost da inoviraju i prilago\u0111avaju se brzo promjenljivom okru\u017eenju.<\/p>\n<p>Ovi uticaji jasno pokazuju da pojava <em>Phantom<\/em> <em>Taurus<\/em> grupe prevazilazi okvir pojedina\u010dnih incidenata i odra\u017eava stalno prisutni pejza\u017e prijetnji sa kojima se <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">stru\u010dnjaci za sajber bezbjednost<\/a> suo\u010davaju svakodnevno. Kako se ovaj entitet nastavlja razvijati i usavr\u0161avati svoje metode, odbrambeni timovi moraju ostati budni i proaktivni kako bi odr\u017eali prednost nad novim izazovima.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Djelovanje <em>Phantom Taurus<\/em> grupe zlonamjernih aktera smje\u0161teno je u \u0161iri kontekst sajber \u0161pijuna\u017ee, gdje su napredne trajne prijetnje (<em>APT<\/em>) postale sve naprednije u svojim taktikama i tehnikama. Aktivnosti ove grupe posebno se izdvajaju upotrebom zlonamjernog softvera bez datoteka i naprednih metoda izbjegavanja detekcije.<\/p>\n<p><em>Phantom Taurus<\/em> funkcioni\u0161e u slo\u017eenom okru\u017eenju koje oblikuju promjenljivi vektori prijetnji, ubrzan razvoj tehnologija i rastu\u0107a globalna povezanost. Njihove operacije \u010desto su obavijene velom tajne, \u0161to ote\u017eava sagledavanje punog obima aktivnosti i dodatno komplikuje napore u njihovom pra\u0107enju.<\/p>\n<p>Posebno se isti\u010de upotreba <em>NET-STAR<\/em> zlonamjernog softvera, u kombinaciji sa naprednim tehnikama izbjegavanja, pri \u010demu su mete naj\u010de\u0161\u0107e vladina tijela i telekomunikacione organizacije \u0161irom Afrike, Bliskog istoka i Azije. Ovakav pristup omogu\u0107ava <em>Phantom Taurus<\/em> grupi da ostane korak ispred odbrambenih mjera i da kontinuirano prilago\u0111ava svoje metode.<\/p>\n<p>Analiza \u0161pijunskih aktivnosti koje uklju\u010duju <em>NET-STAR<\/em> softver bez datoteka pru\u017ea dublje razumijevanje pejza\u017ea sajber \u0161pijuna\u017ee i evolucije taktika sajber bezbjednosti. Time se nagla\u0161ava potreba za stalnom budno\u0161\u0107u i unapre\u0111ivanjem za\u0161titnih mehanizama kako bi se efikasno odgovorilo na neumornu potragu <em>Phantom Taurus<\/em> grupe za osjetljivim informacijama.<\/p>\n<p>Slo\u017eenost <em>Phantom Taurus<\/em> operacija ukazuje i na \u0161iru dimenziju problema: efikasna odbrana zahtijeva kontinuiranu saradnju i razmjenu informacija izme\u0111u vlada, organizacija i pojedinaca. Samo zajedni\u010dkim naporima mogu\u0107e je suprotstaviti se prijetnjama sajber \u0161pijuna\u017ee i o\u010duvati povjerenje u klju\u010dne institucije i sisteme.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>S obzirom na slo\u017eenost i raznovrsnost prijetnji koje predstavlja <em>Phantom Taurus<\/em> grupa zlonamjernih aktera, neophodno je primijeniti sveobuhvatan pristup za\u0161titi. U nastavku su navedene preporuke koje mogu poslu\u017eiti kao okvir za ja\u010danje sajber otpornosti i smanjenje rizika od sli\u010dnih napada:<\/p>\n<ol>\n<li>Organizacije bi trebalo da osiguraju da su njihovi sistemi elektronske po\u0161te za\u0161ti\u0107eni primjenom robusnih mjera bezbjednosti kao \u0161to su autentifikaciju u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>), \u0161ifrovanje i redovna a\u017euriranja softvera. Ovo \u0107e pomo\u0107i u sprje\u010davanju neovla\u0161tenog pristupa osjetljivim informacijama i smanjiti rizik od <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>napada koji mogu dovesti do infekcija zlonamjernim softverom poput <em>NET-STAR<\/em>.<\/li>\n<li>Redovno sprovoditi sveobuhvatne procjene ranjivosti na svim sistemima, uklju\u010duju\u0107i servere elektronske po\u0161te, baze podataka i internet aplikacije, kako bi se identifikovale potencijalne slabosti koje bi zlonamjerni akteri mogli da iskoriste. Ovo \u0107e omogu\u0107iti organizacijama da daju prioritet naporima a\u017eurirnja i sanacije, smanjuju\u0107i <a href=\"https:\/\/sajberinfo.com\/en\/2023\/03\/24\/povrsina-napada-uvod-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">povr\u0161inu napada<\/a> za zlonamjerne aktere poput <em>Phantom Taurus<\/em>.<\/li>\n<li>Osigurati da sva komunikacija izme\u0111u sistema koristi bezbjedne protokole kao \u0161to su bezbjedni protokol za prenos povezanog teksta (eng. <em>Hypertext Transfer Protocol Secure \u2013 HTTPS<\/em>) ili bezbjedni protokol za prenos datoteka (eng. <em>Secure File Transfer Protocol &#8211; SFTP<\/em>). Ovo \u0107e sprije\u010diti zlonamjerne aktere da presretnu osjetljive informacije i smanjiti rizik od infekcija zlonamjernim softverom putem nebezbjednih veza.<\/li>\n<li>Implementirati za\u0161titni sistem za internet aplikacije (eng. <em>Web Application Firewall &#8211; WAF<\/em>) da bi se organizacije za\u0161titile od uobi\u010dajenih internet napada kao \u0161to su <em>SQL<\/em> ubrizgavanje, napadi me\u0111ulokacijskog skriptovanja (eng. <em>Cross-Site Scripting \u2013 XSS<\/em>) i ubrizgavanje komandi. Za\u0161titni sistem za internet aplikacije (<em>WAF<\/em>) tako\u0111e mo\u017ee pomo\u0107i u otkrivanju i sprje\u010davanju zlonamjernih aktivnosti od strane paketa zlonamjernog softvera <em>NET-STAR<\/em> grupe zlonamjernih aktera <em>Phantom Taurus<\/em>.<\/li>\n<li>Implementirati alate za pra\u0107enje koji prate mre\u017eni saobra\u0107aj u realnom vremenu kako bi se brzo identifikovale potencijalni bezbjednosni incidenti ili anomalije koje ukazuju na <em>NET-STAR. <\/em>Ovo \u0107e omogu\u0107iti brzo vrijeme odziva, smanjuju\u0107i rizik od ugro\u017eavanja podataka i drugih posljedica.<\/li>\n<li>Potrebno je osigurati da svi sistemi rade sa a\u017euriranim verzijama operativnog sistema, a\u017euriranjima internet pregleda\u010da i ispravkama za pro\u0161irenja. Zastareli softver mo\u017ee ostaviti ranjivosti koje zlonamjerni akteri poput <em>Phantom Taurus<\/em> mogu iskoristiti da bi dobili pristup ili \u0161irili zlonamjerni softver.<\/li>\n<li>Razvijati <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">plan odgovora na sajber prijetnju<\/a> koji opisuje procedure za reagovanje na bezbjednosne incidente kao \u0161to su <em>NET-STAR<\/em>. Ovo \u0107e osigurati da su organizacije spremne i opremljene da se nose sa potencijalnim propustima, smanjuju\u0107i vrijeme zastoja i \u0161tetu.<\/li>\n<li>Potrebno je obu\u010diti zaposlene o rizicima koji prate <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/23\/phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>napade, taktike dru\u0161tvenog in\u017eenjeringa i druge metode koje primjenjuju zlonamjerni akteri, uklju\u010duju\u0107i i <em>Phantom<\/em> <em>Taurus<\/em> Ova edukacija mora se redovno a\u017eurirati kako bi pratila pojavu novih prijetnji i osigurala primjenu najboljih praksi u ja\u010danju bezbjednosne svijesti korisnika.<\/li>\n<li>Uspostaviti osnovnu liniju bezbjedne konfiguracije koja opisuje preporu\u010dena pode\u0161avanja za sisteme, aplikacije i usluge. Ovo \u0107e pomo\u0107i da se obezbijedi dosljednost u cijeloj organizaciji i smanji rizik od pogre\u0161nih konfiguracija koje mogu da iskoriste zlonamjerni akteri poput <em>Phantom<\/em> <em>Taurus<\/em><\/li>\n<li>Preporu\u010duje se pretplata na renomirane izvore obavje\u0161tajnih podataka o prijetnjama, kako bi organizacija bila pravovremeno informisana o novim rizicima, uklju\u010duju\u0107i i paket zlonamjernog softvera <em>NET-STAR<\/em> koji koristi <em>Phantom Taurus<\/em>. Takvi izvori pru\u017eaju dragocjene uvide za a\u017euriranje bezbjednosnih mjera, unapre\u0111enje planova za reagovanje na incidente i ja\u010danje ukupnog nivoa sajber bezbjednosti.<\/li>\n<li>Razvijati politike koje osiguravaju da se osjetljive informacije bezbjedno \u010duvaju kori\u0161tenjem \u0161ifrovanja, kontrole pristupa i drugih za\u0161titnih mjera. Ovo \u0107e sprije\u010diti neovla\u0161teni pristup povjerljivim podacima u slu\u010daju napada poput <em>NET-STAR<\/em> paketa zlonamjernih programa kompanije <em>Phantom Taurus<\/em>.<\/li>\n<li>Redovno praviti <a href=\"https:\/\/sajberinfo.com\/en\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervne kopije<\/a> svih kriti\u010dnih sistema, uklju\u010duju\u0107i servere elektronske po\u0161te, baze podataka i internet aplikacije. Bezbjedno \u010duvanje ovih rezervnih kopija van lokacije mo\u017ee pomo\u0107i u obezbje\u0111ivanju kontinuiteta poslovanja \u010dak i ako je sistem ugro\u017een od strane zlonamjernih aktera koji koriste <em>NET-STAR<\/em> paket zlonamjernih programa.<\/li>\n<li>Segmentirati mre\u017ee u izolovane zone kako biste ograni\u010dili <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/lateral-movement\/\" target=\"_blank\" rel=\"nofollow noopener\">bo\u010dno kretanje<\/a> u slu\u010daju da zlonamjerni akter dobije pristup kroz jednu ulaznu ta\u010dku. Ovo \u0107e smanjiti povr\u0161inu napada i ote\u017eati <em>Phantom Taurus<\/em> ili drugim zlonamjernim akterima da pro\u0161ire svoj uticaj na sisteme.<\/li>\n<li>Implementirati rje\u0161enja za pra\u0107enje zasnovana na pona\u0161anju koja prate aktivnost sistema, interakcije korisnika i obrasce mre\u017enog saobra\u0107aja u realnom vremenu. Ovi alati mogu pomo\u0107i u otkrivanju anomalija koje ukazuju na <em>NET-STAR<\/em> infekciju prije nego \u0161to do\u0111e do zna\u010dajne \u0161tete.<\/li>\n<\/ol>\n<p>Primjena ovih preporuka mo\u017ee zna\u010dajno unaprijediti ukupnu sajber bezbjednost organizacija smanjenjem ranjivosti koje iskori\u0161tavaju zlonamjerni akteri, poput <em>Phantom Taurus<\/em> grupe, kroz upotrebu paketa zlonamjernog softvera <em>NET-STAR<\/em>.<\/p>","protected":false},"excerpt":{"rendered":"<p>Phantom Taurus, ranije nepoznati akter, prema izvje\u0161taju Unit 42 kompanije Palo Alto Networks, povezan je sa napadima koji su karakteristi\u010dni za napredne trajne prijetnje (eng. advanced persistent threat \u2013 APT). Ovi napadi usmjereni su&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":8452,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[3487,2817,3490,3485,3484,3482,3491,3488,3483,3489,3413,3486,2037,3375],"class_list":["post-8450","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-bezbedan-net","tag-cyber-attack","tag-data-safety","tag-digitalna-pretnja","tag-hakeri","tag-internet-bezbednost","tag-netstar","tag-online-opasnost","tag-opasnost-na-mrezi","tag-phantom-taurus","tag-sajber-napad","tag-sajber-spijuni","tag-stay-safe-online","tag-zastiti-se"],"_links":{"self":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8450","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=8450"}],"version-history":[{"count":7,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8450\/revisions"}],"predecessor-version":[{"id":8458,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8450\/revisions\/8458"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/8452"}],"wp:attachment":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=8450"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=8450"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=8450"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}