В понеделник Microsoft приписа на базирано в Китай лице, занимаващо се с кибершпионаж, серия от атаки, насочени към дипломатически структури в Южна Америка.
Екипът за разузнаване на сигурността на технологичния гигант проследява групата под нововъзникващия псевдоним DEV-0147, като описва дейността като „разширяване на операциите на групата за ексфилтриране на данни, които традиционно са насочени към правителствени агенции и мозъчни тръстове в Азия и Европа“.
Твърди се, че бандата използва утвърдени хакерски инструменти като ShadowPad, за да проникне в целите и да поддържа постоянен достъп.
ShadowPad, наричана също PoisonPlug, е наследник на троянеца за отдалечен достъп PlugX и е широко използван от китайски държавни хакери, свързани с Министерството на държавната сигурност (МДС) и Народноосвободителната армия (НОАК), по данни на Secureworks.
Един от другите зловредни инструменти, използвани от DEV-0147, е зареждащ модул за Webpack, наречен QuasarLoader, който позволява разполагането на допълнителни полезни товари на компрометираните хостове.
Редмънд не разкрива метода, който DEV-0147 може да използва, за да получи първоначален достъп до целевата среда. При това вероятните вектори са фишинг и опортюнистично насочване към непоправени приложения.
„Атаките на DEV-0147 в Южна Америка включваха дейности след експлоатирането, включващи злоупотреба с местната инфраструктура за идентификация за разузнаване и странично придвижване, както и използването на Cobalt Strike за командване и контрол и ексфилтрация на данни“, заявиха от Microsoft.
През септември 2022 г. NCC Group разкри подробности за атака, насочена към неназована организация, при която е злоупотребено с критичен недостатък в WSO2 (CVE-2022-29464, CVSS оценка: 9,8), за да се пуснат уеб шелове и да се активира инфекциозна верига, която води до доставката на ShadowPad за събиране на разузнавателна информация.
ShadowPad е използван и от неидентифицирани хакери при атака, насочена към външно министерство на член на АСЕАН, чрез успешно използване на уязвим и свързан с интернет сървър Microsoft Exchange.
Наблюдава се, че тази дейност, наречена REF2924 от Elastic Security Labs, споделя тактически асоциации с тези, възприети от други националнодържавни групи като Winnti (известна още като APT41) и ChamelGang.
„Наборът от прониквания REF2924 […] представлява група за атаки, която изглежда фокусирана върху приоритети, които, когато се наблюдават в различни кампании, съвпадат със спонсориран национален стратегически интерес“, отбеляза компанията.
Фактът, че китайските хакерски групи продължават да използват ShadowPad, въпреки че той е добре документиран през годините, предполага, че техниката дава известен успех.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.