Неотдавнашна кампания, предприета от Earth Preta, показва, че групи от национални хакери, свързани с Китай, стават все по-умели в заобикалянето на решенията за сигурност.

Извършители, които са активни поне от 2012 г. насам, се проследявта от по-широката общност за киберсигурност под имената Bronze President, HoneyMyte, Mustang Panda, RedDelta и Red Lich.

Веригите от атаки, организирани от групата, започват с електронно писмо, в което се използват широк набор от инструменти за достъп до задни вратички, командване и контрол (C2) и ексфилтрация на данни.

Тези съобщения са снабдени със зловредни примамливи архиви, разпространявани чрез връзки към Dropbox или Google Drive, които използват странично зареждане на DLL, файлове с преки пътища LNK и фалшиви файлови разширения като вектори за пристигане, за да получат опора и да пуснат задни вратички като TONEINS, TONESHELL, PUBLOAD и MQsTTang (известен още като QMAGENT).

Наблюдавани са подобни вериги на заразяване, използващи връзки към Google Drive, които доставят Cobalt Strike още през април 2021 г.

„Earth Preta има склонност да крие зловреден полезен товар във фалшиви файлове, маскирайки ги като легитимни – техника, която е доказано ефективна за избягване на откриване“, заяви Trend Micro в нов анализ, публикуван в четвъртък.

Този метод за влизане, който беше забелязан за първи път в края на миналата година, оттогава е получил лека промяна, при която връзката за изтегляне на архива е вградена в друг примамлив документ, а файлът е защитен с парола в опит да се заобиколят решенията за имейл шлюзове.

 

„След това файловете могат да бъдат извлечени отвътре чрез паролата, предоставена в документа“, казват изследователите. „Използвайки тази техника, злонамереният ивършител, който стои зад атаката, може успешно да заобиколи услугите за сканиране.“

Първоначалният достъп до средата на жертвата е последван от фази на откриване на акаунти и повишаване на привилегиите, като Mustang Panda използва персонализирани инструменти като ABPASS и CCPASS, за да заобиколи контрола на потребителските акаунти (UAC) в Windows 10.

 

Освен това е наблюдавано, че групата разполага със зловреден софтуер като „USB Driver.exe“ (HIUPAN или MISTCLOAK) и „rzlog4cpp.dll“ (ACNSHELL или BLUEHAZE), за да се инсталира на сменяеми дискове и да създаде обратна обвивка с цел да се придвижва в мрежата.

Другите внедрени помощни програми включват CLEXEC – задна врата, способна да изпълнява команди и да изчиства дневниците за събития; COOLCLIENT и TROCLIENT – импланти, които са предназначени да записват натискания на клавиши, както и да четат и изтриват файлове; и PlugX.

 

„Освен добре познатите легитимни инструменти, бандитите са изработили и силно персонализирани инструменти, използвани за ексфилтрация“, отбелязват изследователите. Това включва NUPAKAGE и ZPAKAGE, които са оборудвани за събиране на файлове от Microsoft Office.

Констатациите още веднъж подчертават повишеното оперативно темпо на китайските кибершпиони и постоянните им инвестиции в усъвършенстване на кибернетичното им въоръжение с цел избягване на откриването.

„Earth Preta е способен и организиран екип, който непрекъснато усъвършенства своите TTP, укрепва възможностите си за разработка и изгражда гъвкав арсенал от инструменти и зловреден софтуер“, заключават изследователите.

Източник: The Hacker News

Подобни публикации

22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
22 януари 2025

13 000 рутера MikroTik от цял свят са превзети ...

Глобална мрежа от около 13 000 отвлечени маршрутизатора Mikrotik е ...
21 януари 2025

ИИ в киберсигурността: 20 години иновации

Изкуственият интелект се превърна в ключов фактор в много сектори, ...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
20/01/2025

HPE разследва твърдения за ...

HPE започна разследване, след като известен...
20/01/2025

TikTok възстановява услугат...

TikTok възстанови услугите си за потребителите...
Последно добавени
22/01/2025

Продуктите за сграден контр...

Изследовател твърди, че е открил над...
22/01/2025

Над 380 000 долара са изпла...

Инициативата Zero Day Initiative (ZDI) на...
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!