В понеделник Microsoft приписа на базирано в Китай лице, занимаващо се с кибершпионаж, серия от атаки, насочени към дипломатически структури в Южна Америка.

Екипът за разузнаване на сигурността на технологичния гигант проследява групата под нововъзникващия псевдоним DEV-0147, като описва дейността като „разширяване на операциите на групата за ексфилтриране на данни, които традиционно са насочени към правителствени агенции и мозъчни тръстове в Азия и Европа“.

Твърди се, че бандата използва утвърдени хакерски инструменти като ShadowPad, за да проникне в целите и да поддържа постоянен достъп.

ShadowPad, наричана също PoisonPlug, е наследник на троянеца за отдалечен достъп PlugX и е широко използван от китайски държавни хакери, свързани с Министерството на държавната сигурност (МДС) и Народноосвободителната армия (НОАК), по данни на Secureworks.

Един от другите зловредни инструменти, използвани от DEV-0147, е зареждащ модул за Webpack, наречен QuasarLoader, който позволява разполагането на допълнителни полезни товари на компрометираните хостове.

Редмънд не разкрива метода, който DEV-0147 може да използва, за да получи първоначален достъп до целевата среда. При това вероятните вектори са фишинг и опортюнистично насочване към непоправени приложения.

„Атаките на DEV-0147 в Южна Америка включваха дейности след експлоатирането, включващи злоупотреба с местната инфраструктура за идентификация за разузнаване и странично придвижване, както и използването на Cobalt Strike за командване и контрол и ексфилтрация на данни“, заявиха от Microsoft.

През септември 2022 г. NCC Group разкри подробности за атака, насочена към неназована организация, при която е злоупотребено с критичен недостатък в WSO2 (CVE-2022-29464, CVSS оценка: 9,8), за да се пуснат уеб шелове и да се активира инфекциозна верига, която води до доставката на ShadowPad за събиране на разузнавателна информация.

ShadowPad е използван и от неидентифицирани хакери при атака, насочена към външно министерство на член на АСЕАН, чрез успешно използване на уязвим и свързан с интернет сървър Microsoft Exchange.

Наблюдава се, че тази дейност, наречена REF2924 от Elastic Security Labs, споделя тактически асоциации с тези, възприети от други националнодържавни групи като Winnti (известна още като APT41) и ChamelGang.

„Наборът от прониквания REF2924 […] представлява група за атаки, която изглежда фокусирана върху приоритети, които, когато се наблюдават в различни кампании, съвпадат със спонсориран национален стратегически интерес“, отбеляза компанията.

Фактът, че китайските хакерски групи продължават да използват ShadowPad, въпреки че той е добре документиран през годините, предполага, че техниката дава известен успех.