Търсене
Close this search box.

Изследователи разкриват измамните стратегии на китайските държавни хакери

Неотдавнашна кампания, предприета от Earth Preta, показва, че групи от национални хакери, свързани с Китай, стават все по-умели в заобикалянето на решенията за сигурност.

Извършители, които са активни поне от 2012 г. насам, се проследявта от по-широката общност за киберсигурност под имената Bronze President, HoneyMyte, Mustang Panda, RedDelta и Red Lich.

Веригите от атаки, организирани от групата, започват с електронно писмо, в което се използват широк набор от инструменти за достъп до задни вратички, командване и контрол (C2) и ексфилтрация на данни.

Тези съобщения са снабдени със зловредни примамливи архиви, разпространявани чрез връзки към Dropbox или Google Drive, които използват странично зареждане на DLL, файлове с преки пътища LNK и фалшиви файлови разширения като вектори за пристигане, за да получат опора и да пуснат задни вратички като TONEINS, TONESHELL, PUBLOAD и MQsTTang (известен още като QMAGENT).

Наблюдавани са подобни вериги на заразяване, използващи връзки към Google Drive, които доставят Cobalt Strike още през април 2021 г.

„Earth Preta има склонност да крие зловреден полезен товар във фалшиви файлове, маскирайки ги като легитимни – техника, която е доказано ефективна за избягване на откриване“, заяви Trend Micro в нов анализ, публикуван в четвъртък.

Този метод за влизане, който беше забелязан за първи път в края на миналата година, оттогава е получил лека промяна, при която връзката за изтегляне на архива е вградена в друг примамлив документ, а файлът е защитен с парола в опит да се заобиколят решенията за имейл шлюзове.

 

„След това файловете могат да бъдат извлечени отвътре чрез паролата, предоставена в документа“, казват изследователите. „Използвайки тази техника, злонамереният ивършител, който стои зад атаката, може успешно да заобиколи услугите за сканиране.“

Първоначалният достъп до средата на жертвата е последван от фази на откриване на акаунти и повишаване на привилегиите, като Mustang Panda използва персонализирани инструменти като ABPASS и CCPASS, за да заобиколи контрола на потребителските акаунти (UAC) в Windows 10.

 

Освен това е наблюдавано, че групата разполага със зловреден софтуер като „USB Driver.exe“ (HIUPAN или MISTCLOAK) и „rzlog4cpp.dll“ (ACNSHELL или BLUEHAZE), за да се инсталира на сменяеми дискове и да създаде обратна обвивка с цел да се придвижва в мрежата.

Другите внедрени помощни програми включват CLEXEC – задна врата, способна да изпълнява команди и да изчиства дневниците за събития; COOLCLIENT и TROCLIENT – импланти, които са предназначени да записват натискания на клавиши, както и да четат и изтриват файлове; и PlugX.

 

„Освен добре познатите легитимни инструменти, бандитите са изработили и силно персонализирани инструменти, използвани за ексфилтрация“, отбелязват изследователите. Това включва NUPAKAGE и ZPAKAGE, които са оборудвани за събиране на файлове от Microsoft Office.

Констатациите още веднъж подчертават повишеното оперативно темпо на китайските кибершпиони и постоянните им инвестиции в усъвършенстване на кибернетичното им въоръжение с цел избягване на откриването.

„Earth Preta е способен и организиран екип, който непрекъснато усъвършенства своите TTP, укрепва възможностите си за разработка и изгражда гъвкав арсенал от инструменти и зловреден софтуер“, заключават изследователите.

Източник: The Hacker News

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...

Всичко за Закона за онлайн безопасността на дец...

За последен път Конгресът прие закон за защита на децата в интернет...
Бъдете социални
Още по темата
23/07/2024

САЩ налагат санкции на руск...

Правителството на САЩ наложи санкции на...
23/07/2024

Гърция пребори успешно въл...

Агенцията за поземлен регистър в Гърция...
20/07/2024

Akira Ransomware: Светкавич...

Изнудвачите от Akira вече са способни...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!