Търсене
Close this search box.

Китайски хакери атакуват южноамерикански дипломати с ShadowPad

В понеделник Microsoft приписа на базирано в Китай лице, занимаващо се с кибершпионаж, серия от атаки, насочени към дипломатически структури в Южна Америка.

Екипът за разузнаване на сигурността на технологичния гигант проследява групата под нововъзникващия псевдоним DEV-0147, като описва дейността като „разширяване на операциите на групата за ексфилтриране на данни, които традиционно са насочени към правителствени агенции и мозъчни тръстове в Азия и Европа“.

Твърди се, че бандата използва утвърдени хакерски инструменти като ShadowPad, за да проникне в целите и да поддържа постоянен достъп.

ShadowPad, наричана също PoisonPlug, е наследник на троянеца за отдалечен достъп PlugX и е широко използван от китайски държавни хакери, свързани с Министерството на държавната сигурност (МДС) и Народноосвободителната армия (НОАК), по данни на Secureworks.

Един от другите зловредни инструменти, използвани от DEV-0147, е зареждащ модул за Webpack, наречен QuasarLoader, който позволява разполагането на допълнителни полезни товари на компрометираните хостове.

Редмънд не разкрива метода, който DEV-0147 може да използва, за да получи първоначален достъп до целевата среда. При това вероятните вектори са фишинг и опортюнистично насочване към непоправени приложения.

„Атаките на DEV-0147 в Южна Америка включваха дейности след експлоатирането, включващи злоупотреба с местната инфраструктура за идентификация за разузнаване и странично придвижване, както и използването на Cobalt Strike за командване и контрол и ексфилтрация на данни“, заявиха от Microsoft.

 

През септември 2022 г. NCC Group разкри подробности за атака, насочена към неназована организация, при която е злоупотребено с критичен недостатък в WSO2 (CVE-2022-29464, CVSS оценка: 9,8), за да се пуснат уеб шелове и да се активира инфекциозна верига, която води до доставката на ShadowPad за събиране на разузнавателна информация.

ShadowPad е използван и от неидентифицирани хакери при атака, насочена към външно министерство на член на АСЕАН, чрез успешно използване на уязвим и свързан с интернет сървър Microsoft Exchange.

Наблюдава се, че тази дейност, наречена REF2924 от Elastic Security Labs, споделя тактически асоциации с тези, възприети от други националнодържавни групи като Winnti (известна още като APT41) и ChamelGang.

„Наборът от прониквания REF2924 […] представлява група за атаки, която изглежда фокусирана върху приоритети, които, когато се наблюдават в различни кампании, съвпадат със спонсориран национален стратегически интерес“, отбеляза компанията.

Фактът, че китайските хакерски групи продължават да използват ShadowPad, въпреки че той е добре документиран през годините, предполага, че техниката дава известен успех.

Източник: The Hacker News

Подобни публикации

30 май 2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка, за да спечели...
30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
Бъдете социални
Още по темата
28/05/2024

Хакерите се насочват към VP...

Заплахите се насочват към VPN устройствата...
27/05/2024

Атаките от типа "нулев ден"...

Атаките от типа „нулев ден“ продължават...
25/05/2024

Хакери избягаха с 3 000 гал...

Почти всеки ден новинарските агенции съобщават...
Последно добавени
30/05/2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка,...
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!