Titel: Phantom Taurus: APT-groepen verschuiven focus naar bedrijfdatabases
In de afgelopen jaren hebben groepen van Advanced Persistent Threats (APT) hun tactieken aangepast door niet langer uitsluitend de focus te leggen op e-mailservers, maar in plaats daarvan hun aanvallen te richten op bedrijfsdatabases. Een rapport van Palo Alto Networks, een toonaangevende speler in de cyberbeveiliging, onthult dat steeds meer kwaadwillende actoren deze strategie omarmen. Dit is recentelijk waarneembaar in de activiteiten van een nieuw identificerend groep genaamd Phantom Taurus, dat wordt geassocieerd met cyberespionage.
Van E-mail naar Databases
Deze tactische verschuiving stelt aanvallers in staat om grote hoeveelheden gestructureerde informatie—zoals financiële geschiedenis, klantenlijsten en interne registraties—sneller en discreter te verkrijgen, zonder afhankelijk te zijn van phishingcampagnes of toegang tot bedrijfs-e-mail.
De redenen voor deze evolutie zijn evident. Aan de ene kant hebben verbeteringen in e-mailbeveiliging, zoals multifactorauthenticatie, antiphishing-filters en de opleiding van werknemers, het moeilijker gemaakt om deze kanalen te compromitteren. Aan de andere kant blijven bedrijfsdatabases vaak minder goed beschermd of gemonitord, omdat ze niet centraal staan in veel cyberbeveiligingsstrategieën, wat hen tot voorkeursdoelen maakt voor meer geavanceerde aanvallers.
Phantom Taurus: De nieuwe dreiging
Het recente geval van Phantom Taurus illustreert deze opkomende trend. Geïdentificeerd door het threat intelligence team Unit 42 van Palo Alto Networks, is Phantom Taurus een APT-groep uit China die stilletjes heeft geopereerd gedurende ten minste tweeënhalf jaar, gericht op overheidsinstanties, ambassades, militaire instellingen en telecombedrijven in Afrika, het Midden-Oosten en Azië, met als doel het vergaren van strategische informatie van geopolitiek en economisch belang.
Van 2023 tot 2024 richtte Phantom Taurus zijn aanvallen op Exchange-e-mailservers, waar ze de malware TunnelSpecter en SweetSpecter inzetten om volledige inboxen uit te exfiltreren op zoek naar gevoelige zoekwoorden. Begin 2025 detecteerde Palo Alto Networks een verandering in tactics: de groep begon een geautomatiseerd script, mssq.bat, te gebruiken om verbinding te maken met Microsoft SQL Server-databases met gestolen beheerdersreferenties, specifieke queries uit te voeren en de verkregen informatie in CSV-bestanden te extraheren. De hele operatie vond op afstand en geautomatiseerd plaats via Windows Management Instrumentation (WMI), waarbij ze sporen achteraf uitwissen. Dit toont een significante evolutie aan vergeleken met hun eerdere campagnes die zich richtten op e-mail.
Urgentie om gegevens te beschermen
De transitie van Phantom Taurus is niet uniek. Diverse rapporten uit de cyberbeveiligingsindustrie wijzen op soortgelijke tactieken van andere APT-actoren. Winnti, een ander bekend cyberespionagegroep verbonden met China, ontwikkelde eerder een speciale backdoor voor Microsoft SQL Server, genaamd “skip-2.0”.
Deze verschuiving in tactieken van APT-groepen is een dringend signaal voor alle organisaties. Beveiliging kan zich niet alleen richten op het beschermen van de perimeter en e-mail; het is essentieel om de verdediging van de activa waar gevoelige informatie resideert te versterken. Palo Alto Networks beveelt het volgende aan:
Strikte toegangscorrecties toepassen in databases, met robuuste wachtwoorden en correct accountbeheer voor beheerdersrechten.
Actief monitoren van ongebruikelijke queries en activiteiten in systemen om anomalieën te detecteren.
Databases up-to-date houden met de laatste beveiligingspatches om exploiteerbare kwetsbaarheden te verhelpen.
Interne netwerken segmenteren om te voorkomen dat een aanvaller zich gemakkelijk kan verplaatsen van een gecompromitteerde server naar databases.
Vroegtijdige detectie prioriteren, met oplossingen die in staat zijn om afwijkend gedrag te identificeren, zoals Advanced Threat Prevention, dat exploits in real-time detecteert met behulp van machine learning.
In een wereld waar de dreigingen steeds geavanceerder worden, is het tijd voor organisaties om hun defensieve strategieën opnieuw te evalueren en aan te passen aan de veranderende aanvallerslandschap.