Неотдавнашна кампания, предприета от Earth Preta, показва, че групи от национални хакери, свързани с Китай, стават все по-умели в заобикалянето на решенията за сигурност.

Извършители, които са активни поне от 2012 г. насам, се проследявта от по-широката общност за киберсигурност под имената Bronze President, HoneyMyte, Mustang Panda, RedDelta и Red Lich.

Веригите от атаки, организирани от групата, започват с електронно писмо, в което се използват широк набор от инструменти за достъп до задни вратички, командване и контрол (C2) и ексфилтрация на данни.

Тези съобщения са снабдени със зловредни примамливи архиви, разпространявани чрез връзки към Dropbox или Google Drive, които използват странично зареждане на DLL, файлове с преки пътища LNK и фалшиви файлови разширения като вектори за пристигане, за да получат опора и да пуснат задни вратички като TONEINS, TONESHELL, PUBLOAD и MQsTTang (известен още като QMAGENT).

Наблюдавани са подобни вериги на заразяване, използващи връзки към Google Drive, които доставят Cobalt Strike още през април 2021 г.

„Earth Preta има склонност да крие зловреден полезен товар във фалшиви файлове, маскирайки ги като легитимни – техника, която е доказано ефективна за избягване на откриване“, заяви Trend Micro в нов анализ, публикуван в четвъртък.

Този метод за влизане, който беше забелязан за първи път в края на миналата година, оттогава е получил лека промяна, при която връзката за изтегляне на архива е вградена в друг примамлив документ, а файлът е защитен с парола в опит да се заобиколят решенията за имейл шлюзове.

 

„След това файловете могат да бъдат извлечени отвътре чрез паролата, предоставена в документа“, казват изследователите. „Използвайки тази техника, злонамереният ивършител, който стои зад атаката, може успешно да заобиколи услугите за сканиране.“

Първоначалният достъп до средата на жертвата е последван от фази на откриване на акаунти и повишаване на привилегиите, като Mustang Panda използва персонализирани инструменти като ABPASS и CCPASS, за да заобиколи контрола на потребителските акаунти (UAC) в Windows 10.

 

Освен това е наблюдавано, че групата разполага със зловреден софтуер като „USB Driver.exe“ (HIUPAN или MISTCLOAK) и „rzlog4cpp.dll“ (ACNSHELL или BLUEHAZE), за да се инсталира на сменяеми дискове и да създаде обратна обвивка с цел да се придвижва в мрежата.

Другите внедрени помощни програми включват CLEXEC – задна врата, способна да изпълнява команди и да изчиства дневниците за събития; COOLCLIENT и TROCLIENT – импланти, които са предназначени да записват натискания на клавиши, както и да четат и изтриват файлове; и PlugX.

 

„Освен добре познатите легитимни инструменти, бандитите са изработили и силно персонализирани инструменти, използвани за ексфилтрация“, отбелязват изследователите. Това включва NUPAKAGE и ZPAKAGE, които са оборудвани за събиране на файлове от Microsoft Office.

Констатациите още веднъж подчертават повишеното оперативно темпо на китайските кибершпиони и постоянните им инвестиции в усъвършенстване на кибернетичното им въоръжение с цел избягване на откриването.

„Earth Preta е способен и организиран екип, който непрекъснато усъвършенства своите TTP, укрепва възможностите си за разработка и изгражда гъвкав арсенал от инструменти и зловреден софтуер“, заключават изследователите.

Източник: The Hacker News

Подобни публикации

22 май 2025

Руската хакерска група APT28 шпионира междунаро...

Мащабна кибершпионска кампания, провеждана от подкрепяната от руска...
22 май 2025

Русия въвежда задължително приложение за просле...

В началото на май 2025 г. руското правителство обяви ново законодат...
22 май 2025

3 a.m. рансъмуер: нова вълна от таргетирани ат...

През първото тримесечие на 2025 г. специалисти по киберсигурност от...
22 май 2025

Mеждународна операция унищожи инфраструктурата ...

Microsoft, правоприлагащи органи и водещи технологични компании с к...
22 май 2025

ЕС наложи санкции на Stark Industries заради ру...

Европейският съюз официално наложи строги санкции на хостинг достав...
21 май 2025

M&S очаква загуби от над £300 милиона след ...

Британската търговска верига Marks & Spencer (M&S) се изпра...
Бъдете социални
Още по темата
21/05/2025

M&S очаква загуби от на...

Британската търговска верига Marks & Spencer...
21/05/2025

19-годишен студент се призн...

Американският департамент по правосъдието (DOJ) обяви,...
21/05/2025

Cellcom потвърди: Кибератак...

След дни на мълчание, компанията разкри,...
Последно добавени
22/05/2025

Руската хакерска група APT2...

Мащабна кибершпионска кампания, провеждана от подкрепяната...
22/05/2025

Русия въвежда задължително ...

В началото на май 2025 г....
22/05/2025

3 a.m. рансъмуер: нова въл...

През първото тримесечие на 2025 г....
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!