Свързаната с Китай група за напреднали постоянни заплахи (APT), известна като Aquatic Panda, е свързана с „глобална кампания за шпионаж“, проведена през 2022 г. и насочена към седем организации.
Тези организации включват правителства, католически благотворителни организации, неправителствени организации (НПО) и мозъчни тръстове в Тайван, Унгария, Турция, Тайланд, Франция и Съединените щати. Дейността, която се е състояла в продължение на 10 месеца между януари и октомври 2022 г., е получила кодовото име Операция FishMedley от ESET.
„Операторите са използвали импланти – като ShadowPad, SodaMaster и Spyder – които са общи или изключителни за участниците в заплахи, свързани с Китай“, казва в анализ изследователят по сигурността Матийо Фау.
Aquatic Panda, наричана още Bronze University, Charcoal Typhoon, Earth Lusca и RedHotel, е група за кибершпионаж от Китай, за която се знае, че е активна поне от 2019 г. Словашката компания за киберсигурност проследява хакерския екип под името FishMonger.
Казва се, че действа под шапката на Winnti Group (известна още като APT41, Barium или Bronze Atlas), заплахата се наблюдава и от китайския изпълнител i-Soon, някои от чиито служители бяха обвинени от Министерството на правосъдието на САЩ (DoJ) по-рано този месец за предполагаемото им участие в множество шпионски кампании от 2016 г. до 2023 г.
На противниковия колектив със задна дата се приписва и кампания от края на 2019 г., насочена към университети в Хонконг с помощта на зловреден софтуер ShadowPad и Winnti – набор от прониквания, който след това е свързан с Winnti Group.
Атаките през 2022 г. се характеризират с използването на пет различни семейства зловреден софтуер: Зареждащо устройство на име ScatterBee, което се използва за пускане на ShadowPad, Spyder, SodaMaster и RPipeCommander. На този етап не е известен точният първоначален вектор за достъп, използван в кампанията.
„APT10 беше първата група, за която се знаеше, че има достъп до [SodaMaster], но операция FishMedley показва, че сега той може да е споделен между множество свързани с Китай APT групи“, казват от ESET.
RPipeCommander е името, дадено на недокументиран преди това C++ имплант, използван срещу неуточнена правителствена организация в Тайланд. Той функционира като обратна обвивка, която е способна да изпълнява команди с помощта на cmd.exe и да събира резултатите.
„Групата не се притеснява да използва повторно добре познати импланти, като ShadowPad или SodaMaster, дори дълго след като са били публично описани“, казва Фау.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
