Phantom Taurus koristi NET-STAR backdoor

AUTOR ·

Phantom Taurus, ranije nepoznati akter, prema izvještaju Unit 42 kompanije Palo Alto Networks, povezan je sa napadima koji su karakteristični za napredne trajne prijetnje (eng. advanced persistent threat – APT). Ovi napadi usmjereni su na vladine agencije i telekomunikacione organizacije širom Afrike, Azije i Bliskog istoka uz korištenje NET-STAR, zlonamjernog softvera bez datoteka koji omogućava tajni pristup sistemima.

Phantom Taurus

Phantom Taurus koristi NET-STAR backdoor; Source: Bing Image Creator

IDENTIFIKACIJA

Otkriće grupe zlonamjernih aktera, za koje se vjeruje da su državno sponzorisani i koji su označeni kao Phantom Taurus, ima značajan uticaj na globalnu sajber bezbjednost, naročito u regionima kao što su Afrika, Bliski istok i Azija. Ova novoidentifikovana grupa, koja se primarno bavi špijunažom, pripisuje se Kini i tokom perioda od dvije i po godine aktivno je ciljala vladine organe i telekomunikacione kompanije.

Primarni cilj grupe Phantom Taurus jeste prikupljanje osjetljivih obavještajnih podataka od svojih meta, sa jasnim naglaskom na dugoročne strateške svrhe. Njihov fokus na ministarstva spoljnih poslova, ambasade, vojne operacije i diplomatsku prepisku ukazuje na interesovanje za informacije koje se odnose na geopolitičke događaje i regionalne sukobe. Ovakav nivo specifičnosti u izboru meta svjedoči o visokom stepenu sofisticiranosti i koordinacije unutar grupe.

Vrijeme mnogih upada koji se pripisuju Phantom Taurus poklapa se sa međunarodnim krizama i regionalnim sukobima, što jasno ukazuje na blisku usklađenost njihovih aktivnosti sa geopolitičkim prioritetima. Ova vremenska korelacija posebno je značajna, jer implicira da operacije grupe nisu rezultat pukih oportunističkih napada, već dio šireg strateškog plana.

 

Operacija Diplomatski spektar

Kampanju Operacija Diplomatski spektar prvi put je primijetila Unit 42 kompanije Palo Alto Networks 2023. godine, pod privremenom oznakom CL-STA-0043. Ova operacija označila je značajnu eskalaciju aktivnosti grupe Phantom Taurus, jer je objedinjavala višestruke upade i istovremeno uspostavila posebnog aktera unutar šireg pejzaža sajber špijunaže.

Tokom perioda posmatranja, grupa je usmjerila napade na Exchange servere, koristeći zlonamjerni softver TunnelSpecter i SweetSpecter kako bi neprimjetno izdvajala čitave poštanske sandučiće u potrazi za osjetljivim ključnim riječima. Ovi alati, posebno dizajnirani da izbjegnu otkrivanje od strane bezbjednosnog softvera, omogućili su Phantom Taurus grupi pristup ogromnim količinama podataka sačuvanih u sandučićima zaposlenih i prikupljanje vrijednih informacija bez direktne interakcije sa infrastrukturom baze podataka.

Koordinacija operacija u okviru Operacije Diplomatski spektar sugeriše da je Phantom Taurus vremenom razvio napredniji pristup u svojim aktivnostima napada. Konsolidacijom napora u jednu kampanju, grupa je vjerovatno unaprijedila operativnu efikasnost i sposobnost koordinacije, čime je dodatno povećala svoj uticaj i prepoznatljivost.

Istraživači su 2024. godine izdvojili Phantom Taurus kao posebnog aktera, nakon završetka Operacije Diplomatski spektar. Ovo razdvajanje bilo je od velikog značaja, jer je označilo priznanje da se grupa pojavljuje kao jedinstveni entitet unutar pejzaža naprednih trajnih prijetnji (APT). Razlika između Phantom Taurus i drugih zlonamjernih aktera naglašava njen značaj kao posebnog vektora prijetnje, sa sposobnošću da kombinuje stratešku usmjerenost i tehničku sofisticiranost.

 

Promjena taktike

Početkom 2025. godine sigurnosni istraživači su zabilježili značajnu promjenu u taktikama grupe Phantom Taurus. Umjesto dotadašnjih kampanja usmjerenih na elektronsku poštu, grupa je počela da koristi automatizovani skript pod nazivom „mssq.bat“ za povezivanje sa Microsoft SQL Server bazama podataka pomoću ukradenih administratorskih podataka za prijavu. Ovaj pristup označio je veliku evoluciju u njihovom djelovanju, jer im je omogućio da se daljinski povežu sa bazama, izvršavaju precizne upite i izdvajaju podatke u CSV datoteke, bez direktne interakcije sa infrastrukturom elektronske pošte.

Automatizovano skriptovanje putem Windows infrastrukture za upravljanje (eng. Windows Management Instrumentation – WMI) dodatno je povećalo prikrivenost njihovih aktivnosti, jer su operacije mogle biti sprovedene bez ostavljanja tragova nakon svake sesije. Ovaj nivo sofisticiranosti svjedoči o sposobnosti grupe da prilagodi taktiku u skladu sa evoluirajućim bezbjednosnim mjerama. Korištenjem automatizovanih skripti, Phantom Taurus je mogao da održi postojanost na kompromitovanim sistemima, a istovremeno smanji svoj digitalni otisak.

Upotreba ukradenih administratorskih podataka za prijavu dodatno naglašava fokus grupe na preciznost i prikrivenost. Oslanjajući se na legitimne metode pristupa, uspjeli su da smanje rizik od otkrivanja tradicionalnim bezbjednosnim softverom, dok su istovremeno prikupljali visoko osjetljive informacije direktno iz infrastrukture baza podataka, bez potrebe za interakcijom sa serverima elektronske pošte ili drugim sistemima.

Posebno je značajno što su istraživači otkrili da je Phantom Taurus razvio .NET paket zlonamjernih programa pod nazivom NET-STAR, dizajniran za infiltraciju IIS internet servera i rad bez datoteka na disku. Ovaj alat omogućava izvršavanje kôda i upita direktno u memoriji, čime se izbjegava moderna odbrana i obezbjeđuje dugoročna postojanost na kompromitovanim sistemima.

 

NET-STAR TAJNI PRISTUP

NET-STAR, .NET paket zlonamjernih programa, razvijen je da cilja internet servere Internet informacionih servisa (eng. Internet Information Services – IIS) i pokazuje napredne tehnike izbjegavanja, kao i duboko razumijevanje .NET arhitekture od strane grupe Phantom Taurus. Korištenje ovog alata predstavlja ozbiljnu prijetnju serverima dostupnim preko interneta, jer omogućava održavanje postojanosti unutar ciljanog okruženja i istovremeno izvršavanje ključnih uloga u lancu napada.

Sam NET-STAR paket sastoji se od tri različita internet-bazirana softvera za tajni pristup: IIServerCore, AssemblyExecuter V1 i AssemblyExecuter V2. Ova modularna struktura dodatno proširuje mogućnosti grupe, omogućavajući im da prilagode napade različitim okruženjima i da ostanu neprimijećeni u kompromitovanim sistemima.

 

IIServerCore

Glavna komponenta NET-STAR paketa zlonamjernih programa je IIServerCore, modularni softver za tajni pristup bez datoteka, koji u potpunosti radi u memoriji unutar Internet informacionih servisa (IIS), odnosno radnog procesa „w3wp.exe“. Nakon što ga učita komponenta za prihvatanje internet komandi, IIServerCore preuzima dodatne korisne terete i argumente, izvršava ih u memoriji i rezultate šalje kroz šifrovani komunikacioni kanal za komande i kontrolu (C2). Njegov jedinstveni modularni tok izvršavanja omogućava dinamičko učitavanje i pokretanje različitih funkcionalnosti bez zapisivanja kôda na disk, što značajno otežava sigurnosnim analitičarima otkrivanje, jer ne ostavlja digitalni trag na kompromitovanom sistemu.

Početna komponenta IIServerCore softvera je ASPX skripta za daljinsko upravljanje serverom pod nazivom OutlookEN.aspx, koja sadrži Base64 kompresovanu binarnu datoteku – sam tajni pristup. Kada se izvrši, skripta učitava tajni pristup u memoriju i poziva glavnu funkciju, metodu Run. Da bi izbjegao otkrivanje, Phantom Taurus je izmijenio vremenske oznake ne samo ove skripte, već i samog IIServerCore modula, mijenjajući vrijeme kompilacije na nasumične buduće datume kako bi prikrio stvarno porijeklo zlonamjernog softvera. Grupa posjeduje mogućnost izmjene vremenskih oznaka pomoću komande changeLastModified, što dodatno otežava rad sigurnosnim analitičarima i alatima digitalne forenzike.

Tajni pristup IIServerCore sastoji se od jedanaest metoda koje pružaju različite funkcionalnosti. Glavna metoda, Run, prima dolaznu komunikaciju sa C2 servera i obrađuje sve operacije zlonamjernog softvera – od početnih zahtjeva za uspostavljanje sesija do naknadnih zahtjeva za izvršavanje komandi. U okviru upravljanja stanjem sesije pomoću kolačića, IIServerCore dešifruje dolazne komande i korisne terete, učitava .NET kôd iz Base64 kôdiranih sklopova, podržava šifrovanje podataka, operacije sistema datoteka, pristup bazama podataka uključujući pokretanje SQL komandi, proizvoljno izvršavanje kôda, rukovanje skriptama za daljinski pristup, zaobilaženje antivirusne zaštite kroz izbjegavanje AMSI funkcionalnosti, šifrovanu komunikaciju sa komandno-kontrolnim serverom, kao i izvršavanje sadržaja isključivo u memoriji, bez zapisivanja na disk.

 

Dvije nove varijante .NET učitavača

Druga komponenta NET-STAR paketa je AssemblyExecuter V1 i njegova poboljšana verzija V2. Riječ je o dvjema varijantama .NET zlonamjernog softvera za Internet informacione servise (IIS), dizajniranog da izvršava druge .NET sklopove direktno u memoriji, bez njihovog zapisivanja na disk. AssemblyExecuter V1 učitava izvršni kôd programskog modula kao ulazne parametre, koristi metodu .NET Assembly.Load() da ga smjesti u memoriju i zatim poziva ulaznu tačku zajedno sa argumentima komandne linije. Njegova benigna struktura kôda dovela je do smanjenog označavanja od strane antivirusnih motora na VirusTotal platformi tokom početne analize, što pokazuje tehniku kojom zlonamjerni akteri mogu razvijati alate koji izbjegavaju otvoreno otkrivanje.

AssemblyExecuter V2 zadržava osnovnu funkcionalnost prethodne verzije, ali uvodi namjenske metode za zaobilaženje okruženja za skeniranje protiv zlonamjernog softvera (eng. antimalware scan interface – AMSI) i Windows praćenje događaja (eng. event tracing for Windows – ETW) bezbjednosnih mehanizama. Ove metode se aktiviraju dinamički, u zavisnosti od ulaznih parametara, što omogućava zlonamjernim akterima da selektivno onemoguće bezbjednosne kontrole u skladu sa konfiguracijom ciljanog okruženja. Na taj način V2 predstavlja sofisticiraniji alat, sposoban da se prilagodi različitim uslovima i dodatno poveća prikrivenost aktivnosti grupe Phantom Taurus.

 

PHANTOM TAURUS APT

Phantom Taurus je državno sponzorisana grupa zlonamjernih aktera čije su aktivnosti usklađene sa strateškim interesima Kine. Pojavila se oko 2023. godine, usmjeravajući napade na vladine i telekomunikacione organizacije širom Afrike, Bliskog istoka i Azije. U početku je bila dokumentovana pod oznakom TGR-STA-0043, da bi kasnije, zbog specifičnog profila prijetnje, bila formalno identifikovana kao Phantom Taurus.

Njihovo djelovanje zasniva se na špijunaži obilježenoj prikrivenošću, upornošću i brzom adaptacijom taktika, tehnika i procedura. Među značajnijim operacijama ističe se Diplomatski spektar, usmjeren na ministarstva spoljnih poslova, ambasade, geopolitičke događaje i vojne aktivnosti. Obrasci ciljanja dosljedno prate ekonomske i geopolitičke prioritete Kine, sa posebnim interesovanjem za diplomatske komunikacije, obavještajne podatke o odbrani i rad ključnih državnih institucija. Činjenica da su kampanje često koincidirale sa globalnim krizama i regionalnim bezbjednosnim pitanjima ukazuje na pažljivo planiran pristup širenju uticaja.

Phantom Taurus se dodatno izdvaja korištenjem specijalno razvijenih alata i tehnika, rijetko prisutnih u okruženju prijetnji. Grupa se oslanja na zajedničku kinesku infrastrukturu naprednih trajnih prijetnji (APT), koju koriste i druge poznate formacije poput Iron Taurus (APT27), Starchy Taurus (Winnti) i Stately Taurus (Mustang Panda). Ipak, njihov karakterističan modus operandi jasno ih razlikuje od ostalih kineskih naprednih trajnih prijetnji (APT).

Tokom vremena, operacije su evoluirale i postale naprednije. Kontinuirano praćenje otkriva jedinstven arsenal alata i metoda, među kojima se posebno izdvaja prelazak na strukturisano prikupljanje obavještajnih podataka kroz ciljanje SQL baza i izvoz informacija putem skripti za Windows infrastrukturu za upravljanje (WMI). Ovaj razvoj potvrđuje sposobnost grupe da se prilagođava i održava prednost u dinamičnom okruženju sajber prijetnji.

 

UTICAJ

Pojava Phantom Taurus grupe kao značajne sajber prijetnje ima dalekosežan uticaj na globalni pejzaž sajber bezbjednosti. Njene aktivnosti precizno ciljaju vladine i telekomunikacione organizacije, što ukazuje na zabrinjavajući trend u sve češćim špijunskim kampanjama.

Posljedice ovakvih akcija višestruke su i duboke, jer prevazilaze puko ugrožavanje podataka ili sistema. Pogođeni entiteti suočavaju se sa ozbiljnim rizicima: osjetljive informacije vezane za nacionalnu bezbjednost, ekonomske interese i diplomatske odnose mogu završiti u pogrešnim rukama. To može dovesti do gubitka povjerenja među partnerima, otežanog donošenja odluka, pa čak i do fizičke štete u ekstremnim okolnostima. Dodatno, ozloglašenost koja prati djelovanje Phantom Taurus grupe stvara atmosferu straha i neizvjesnosti unutar ciljanih zajednica.

Širi uticaji na sajber bezbjednost u cjelini jednako su zabrinjavajući. Kako se ovaj zlonamjerni akter razvija i usavršava svoje taktike, postoji velika vjerovatnoća da će i drugi slični entiteti pratiti njegov primjer i prilagođavati sopstvene strategije u skladu sa dinamičnim mjerama zaštite. Time se stvara svojevrsna “igra mačke i miša” između zlonamjernih aktera i branilaca, u kojoj prvi stalno pomjeraju granice mogućeg.

Ni korisnici nisu pošteđeni posljedica. Čak i nesvjesno mogu biti uvučeni u aktivnosti Phantom Taurus grupe, pri čemu kompromitovane ili manipulisane informacije narušavaju povjerenje u institucije i sisteme. Takav gubitak povjerenja može oslabiti društvenu povezanost, a u krajnjem slučaju izazvati i građanske nemire.

Pored direktnih posljedica, postoji i indirektan uticaj vrijedan pažnje: gušenje inovacija i napretka u pogođenim sektorima. Strah od toga da postanu meta može navesti organizacije da usvoje pretjerano oprezne bezbjednosne politike, što ograničava njihovu sposobnost da inoviraju i prilagođavaju se brzo promjenljivom okruženju.

Ovi uticaji jasno pokazuju da pojava Phantom Taurus grupe prevazilazi okvir pojedinačnih incidenata i odražava stalno prisutni pejzaž prijetnji sa kojima se stručnjaci za sajber bezbjednost suočavaju svakodnevno. Kako se ovaj entitet nastavlja razvijati i usavršavati svoje metode, odbrambeni timovi moraju ostati budni i proaktivni kako bi održali prednost nad novim izazovima.

 

ZAKLJUČAK

Djelovanje Phantom Taurus grupe zlonamjernih aktera smješteno je u širi kontekst sajber špijunaže, gdje su napredne trajne prijetnje (APT) postale sve naprednije u svojim taktikama i tehnikama. Aktivnosti ove grupe posebno se izdvajaju upotrebom zlonamjernog softvera bez datoteka i naprednih metoda izbjegavanja detekcije.

Phantom Taurus funkcioniše u složenom okruženju koje oblikuju promjenljivi vektori prijetnji, ubrzan razvoj tehnologija i rastuća globalna povezanost. Njihove operacije često su obavijene velom tajne, što otežava sagledavanje punog obima aktivnosti i dodatno komplikuje napore u njihovom praćenju.

Posebno se ističe upotreba NET-STAR zlonamjernog softvera, u kombinaciji sa naprednim tehnikama izbjegavanja, pri čemu su mete najčešće vladina tijela i telekomunikacione organizacije širom Afrike, Bliskog istoka i Azije. Ovakav pristup omogućava Phantom Taurus grupi da ostane korak ispred odbrambenih mjera i da kontinuirano prilagođava svoje metode.

Analiza špijunskih aktivnosti koje uključuju NET-STAR softver bez datoteka pruža dublje razumijevanje pejzaža sajber špijunaže i evolucije taktika sajber bezbjednosti. Time se naglašava potreba za stalnom budnošću i unapređivanjem zaštitnih mehanizama kako bi se efikasno odgovorilo na neumornu potragu Phantom Taurus grupe za osjetljivim informacijama.

Složenost Phantom Taurus operacija ukazuje i na širu dimenziju problema: efikasna odbrana zahtijeva kontinuiranu saradnju i razmjenu informacija između vlada, organizacija i pojedinaca. Samo zajedničkim naporima moguće je suprotstaviti se prijetnjama sajber špijunaže i očuvati povjerenje u ključne institucije i sisteme.

 

ZAŠTITA

S obzirom na složenost i raznovrsnost prijetnji koje predstavlja Phantom Taurus grupa zlonamjernih aktera, neophodno je primijeniti sveobuhvatan pristup zaštiti. U nastavku su navedene preporuke koje mogu poslužiti kao okvir za jačanje sajber otpornosti i smanjenje rizika od sličnih napada:

  1. Organizacije bi trebalo da osiguraju da su njihovi sistemi elektronske pošte zaštićeni primjenom robusnih mjera bezbjednosti kao što su autentifikaciju u više koraka (eng. multi-factor authentication – MFA), šifrovanje i redovna ažuriranja softvera. Ovo će pomoći u sprječavanju neovlaštenog pristupa osjetljivim informacijama i smanjiti rizik od phishing napada koji mogu dovesti do infekcija zlonamjernim softverom poput NET-STAR.
  2. Redovno sprovoditi sveobuhvatne procjene ranjivosti na svim sistemima, uključujući servere elektronske pošte, baze podataka i internet aplikacije, kako bi se identifikovale potencijalne slabosti koje bi zlonamjerni akteri mogli da iskoriste. Ovo će omogućiti organizacijama da daju prioritet naporima ažurirnja i sanacije, smanjujući površinu napada za zlonamjerne aktere poput Phantom Taurus.
  3. Osigurati da sva komunikacija između sistema koristi bezbjedne protokole kao što su bezbjedni protokol za prenos povezanog teksta (eng. Hypertext Transfer Protocol Secure – HTTPS) ili bezbjedni protokol za prenos datoteka (eng. Secure File Transfer Protocol – SFTP). Ovo će spriječiti zlonamjerne aktere da presretnu osjetljive informacije i smanjiti rizik od infekcija zlonamjernim softverom putem nebezbjednih veza.
  4. Implementirati zaštitni sistem za internet aplikacije (eng. Web Application Firewall – WAF) da bi se organizacije zaštitile od uobičajenih internet napada kao što su SQL ubrizgavanje, napadi međulokacijskog skriptovanja (eng. Cross-Site Scripting – XSS) i ubrizgavanje komandi. Zaštitni sistem za internet aplikacije (WAF) takođe može pomoći u otkrivanju i sprječavanju zlonamjernih aktivnosti od strane paketa zlonamjernog softvera NET-STAR grupe zlonamjernih aktera Phantom Taurus.
  5. Implementirati alate za praćenje koji prate mrežni saobraćaj u realnom vremenu kako bi se brzo identifikovale potencijalni bezbjednosni incidenti ili anomalije koje ukazuju na NET-STAR. Ovo će omogućiti brzo vrijeme odziva, smanjujući rizik od ugrožavanja podataka i drugih posljedica.
  6. Potrebno je osigurati da svi sistemi rade sa ažuriranim verzijama operativnog sistema, ažuriranjima internet pregledača i ispravkama za proširenja. Zastareli softver može ostaviti ranjivosti koje zlonamjerni akteri poput Phantom Taurus mogu iskoristiti da bi dobili pristup ili širili zlonamjerni softver.
  7. Razvijati plan odgovora na sajber prijetnju koji opisuje procedure za reagovanje na bezbjednosne incidente kao što su NET-STAR. Ovo će osigurati da su organizacije spremne i opremljene da se nose sa potencijalnim propustima, smanjujući vrijeme zastoja i štetu.
  8. Potrebno je obučiti zaposlene o rizicima koji prate phishing napade, taktike društvenog inženjeringa i druge metode koje primjenjuju zlonamjerni akteri, uključujući i Phantom Taurus Ova edukacija mora se redovno ažurirati kako bi pratila pojavu novih prijetnji i osigurala primjenu najboljih praksi u jačanju bezbjednosne svijesti korisnika.
  9. Uspostaviti osnovnu liniju bezbjedne konfiguracije koja opisuje preporučena podešavanja za sisteme, aplikacije i usluge. Ovo će pomoći da se obezbijedi dosljednost u cijeloj organizaciji i smanji rizik od pogrešnih konfiguracija koje mogu da iskoriste zlonamjerni akteri poput Phantom Taurus
  10. Preporučuje se pretplata na renomirane izvore obavještajnih podataka o prijetnjama, kako bi organizacija bila pravovremeno informisana o novim rizicima, uključujući i paket zlonamjernog softvera NET-STAR koji koristi Phantom Taurus. Takvi izvori pružaju dragocjene uvide za ažuriranje bezbjednosnih mjera, unapređenje planova za reagovanje na incidente i jačanje ukupnog nivoa sajber bezbjednosti.
  11. Razvijati politike koje osiguravaju da se osjetljive informacije bezbjedno čuvaju korištenjem šifrovanja, kontrole pristupa i drugih zaštitnih mjera. Ovo će spriječiti neovlašteni pristup povjerljivim podacima u slučaju napada poput NET-STAR paketa zlonamjernih programa kompanije Phantom Taurus.
  12. Redovno praviti rezervne kopije svih kritičnih sistema, uključujući servere elektronske pošte, baze podataka i internet aplikacije. Bezbjedno čuvanje ovih rezervnih kopija van lokacije može pomoći u obezbjeđivanju kontinuiteta poslovanja čak i ako je sistem ugrožen od strane zlonamjernih aktera koji koriste NET-STAR paket zlonamjernih programa.
  13. Segmentirati mreže u izolovane zone kako biste ograničili bočno kretanje u slučaju da zlonamjerni akter dobije pristup kroz jednu ulaznu tačku. Ovo će smanjiti površinu napada i otežati Phantom Taurus ili drugim zlonamjernim akterima da prošire svoj uticaj na sisteme.
  14. Implementirati rješenja za praćenje zasnovana na ponašanju koja prate aktivnost sistema, interakcije korisnika i obrasce mrežnog saobraćaja u realnom vremenu. Ovi alati mogu pomoći u otkrivanju anomalija koje ukazuju na NET-STAR infekciju prije nego što dođe do značajne štete.

Primjena ovih preporuka može značajno unaprijediti ukupnu sajber bezbjednost organizacija smanjenjem ranjivosti koje iskorištavaju zlonamjerni akteri, poput Phantom Taurus grupe, kroz upotrebu paketa zlonamjernog softvera NET-STAR.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.