Търсене
Close this search box.

В понеделник Microsoft приписа на базирано в Китай лице, занимаващо се с кибершпионаж, серия от атаки, насочени към дипломатически структури в Южна Америка.

Екипът за разузнаване на сигурността на технологичния гигант проследява групата под нововъзникващия псевдоним DEV-0147, като описва дейността като „разширяване на операциите на групата за ексфилтриране на данни, които традиционно са насочени към правителствени агенции и мозъчни тръстове в Азия и Европа“.

Твърди се, че бандата използва утвърдени хакерски инструменти като ShadowPad, за да проникне в целите и да поддържа постоянен достъп.

ShadowPad, наричана също PoisonPlug, е наследник на троянеца за отдалечен достъп PlugX и е широко използван от китайски държавни хакери, свързани с Министерството на държавната сигурност (МДС) и Народноосвободителната армия (НОАК), по данни на Secureworks.

Един от другите зловредни инструменти, използвани от DEV-0147, е зареждащ модул за Webpack, наречен QuasarLoader, който позволява разполагането на допълнителни полезни товари на компрометираните хостове.

Редмънд не разкрива метода, който DEV-0147 може да използва, за да получи първоначален достъп до целевата среда. При това вероятните вектори са фишинг и опортюнистично насочване към непоправени приложения.

„Атаките на DEV-0147 в Южна Америка включваха дейности след експлоатирането, включващи злоупотреба с местната инфраструктура за идентификация за разузнаване и странично придвижване, както и използването на Cobalt Strike за командване и контрол и ексфилтрация на данни“, заявиха от Microsoft.

 

През септември 2022 г. NCC Group разкри подробности за атака, насочена към неназована организация, при която е злоупотребено с критичен недостатък в WSO2 (CVE-2022-29464, CVSS оценка: 9,8), за да се пуснат уеб шелове и да се активира инфекциозна верига, която води до доставката на ShadowPad за събиране на разузнавателна информация.

ShadowPad е използван и от неидентифицирани хакери при атака, насочена към външно министерство на член на АСЕАН, чрез успешно използване на уязвим и свързан с интернет сървър Microsoft Exchange.

Наблюдава се, че тази дейност, наречена REF2924 от Elastic Security Labs, споделя тактически асоциации с тези, възприети от други националнодържавни групи като Winnti (известна още като APT41) и ChamelGang.

„Наборът от прониквания REF2924 […] представлява група за атаки, която изглежда фокусирана върху приоритети, които, когато се наблюдават в различни кампании, съвпадат със спонсориран национален стратегически интерес“, отбеляза компанията.

Фактът, че китайските хакерски групи продължават да използват ShadowPad, въпреки че той е добре документиран през годините, предполага, че техниката дава известен успех.

Източник: The Hacker News

Подобни публикации

7 ноември 2024

Nokia: Hяма доказателства, че хакери са проникн...

Както писахме още в неделя, Nokia разследва предполагаема кибератак...
7 ноември 2024

Ботнетът за Android "ToxicPanda" поразява банки...

Изследователите определиха нов ботнет на сцената, за който първонач...
7 ноември 2024

Бандите все по-често използват комплектът Winos...

Хакерите все по-често се насочват към потребителите на Windows със ...
7 ноември 2024

Notepad ще получи инструмент за пренаписване, з...

Microsoft започна да тества инструменти за пренаписване на текст в ...
7 ноември 2024

Бъг в Cisco позволява да се изпълняват команди ...

Cisco е отстранила уязвимост с максимална степен на сериозност, коя...
7 ноември 2024

SteelFox превзема компютри с Windows, използвай...

Нов зловреден пакет, наречен „SteelFox“, добива криптовалута и крад...
6 ноември 2024

Системите на съдилищата в щата Вашингтон са офл...

Съдебните системи в щата Вашингтон не функционират от неделя, когат...
6 ноември 2024

Германия готви закон за защита на белите хакери

Федералното министерство на правосъдието в Германия е изготвило зак...
Бъдете социални
Още по темата
07/11/2024

Nokia: Hяма доказателства, ...

Както писахме още в неделя, Nokia...
07/11/2024

Ботнетът за Android "ToxicP...

Изследователите определиха нов ботнет на сцената,...
07/11/2024

SteelFox превзема компютри ...

Нов зловреден пакет, наречен „SteelFox“, добива...
Последно добавени
07/11/2024

Nokia: Hяма доказателства, ...

Както писахме още в неделя, Nokia...
07/11/2024

Ботнетът за Android "ToxicP...

Изследователите определиха нов ботнет на сцената,...
07/11/2024

Бандите все по-често използ...

Хакерите все по-често се насочват към...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!