Търсене
Close this search box.

Новооткрита китайска група е насочена към военни и правителствени структури

Китайски извършител се е насочил към военни и правителствени структури в страните от Южнокитайско море в продължение на поне шест години, съобщава Bitdefender.

Наречена Unfading Sea Haze, фокусирана върху шпионаж и способна да възстанови достъпа до компрометираните среди, хакерската група остава под радара от 2018 г. насам, като използва нови и подобрени инструменти, тактики и техники (TTPs).

Въпреки че първоначалният вектор на проникване, използван от Unfading Sea Haze, не е известен, при някои атаки е наблюдавано, че  заплахата използва spear-phishing, последван от внедряване на персонализиран зловреден софтуер и инструменти.

Електронните писма за spear-phishing, използвани при атаки през изминалата година, са включвали зловредни архиви, съдържащи LNK файлове, предназначени за изпълнение на зловредни команди вместо тях, което води до внедряване на зловреден софтуер.

За устойчивост Unfading Sea Haze използваше планирани задачи, съчетани с манипулиране на локални администраторски акаунти. Нападателите са се опитвали да активират/деактивират администраторските акаунти, да нулират паролата му и да го скрият от екрана за вход.

Освен това е наблюдавано, че заплахата използва налични в търговската мрежа инструменти за отдалечено наблюдение и управление (RMM), като ITarian RMM, за да получи достъп до мрежите на жертвите.

„Открихме и доказателства, които предполагат, че нападателят може да е установил постоянство на уеб сървъри, включително Windows IIS и Apache httpd. Потенциалните методи включват уеб обвивки или злонамерени модули, предназначени за тези платформи на уеб сървъри (IIS модули и httpd модули)“, отбелязва Bitdefender.

Между 2018 г. и 2023 г. Unfading Sea Haze разчиташе на два варианта на Gh0st RAT, наречени SilentGh0st и TranslucentGh0st, и на варианти на .NET агента SharpJSHandler, който се поддържаше от товарач, наречен Ps2dllLoader, за да изпълнява полезните товари в паметта.

Миналата година участникът заплахата замени Ps2dllLoader с нов механизъм за атака без файлове и премина към по-модулни (базирани на плъгини) варианти на Gh0st RAT, а именно FluffyGh0st, InsidiousGh0st и EtherealGh0st.

Задните врати поддържат команди за манипулиране на файлове и папки, изпълнение на команди, изтегляне и качване на файлове и събиране на данни, но е забелязано, че противникът използва и друг потребителски зловреден софтуер и различни инструменти за кийлогване, събиране на данни от браузъра и ексфилтрация на данни.

Според Bitdefender Unfading Sea Haze е поразил поне осем правителствени и военни организации в региона на Южнокитайско море, а дейностите му изглеждат съгласувани с интересите на Пекин, което предполага, че може да става въпрос за противник от национална държава, действащ от Китай.

Освен това използването на варианти на Gh0st RAT и преди е било свързвано с китайски  заплахи, а споделянето на ресурси между китайски хакерски групи, както и припокриването с инструментариума на APT41 засилват предположението, че Unfading Sea Haze е китайски правителствен противник.

 

Източник: e-security.bg

Подобни публикации

Време е да се справим с проблема със сигурностт...

Софтуерните компании от десетилетия се основават на отворен код. Се...
15 юни 2024

Чък Робинс: "Нашата работа е да не се проваляме"

Бившият главен изпълнителен директор на Splunk Гари Стил се ангажир...

Наследените технологии пречат на дигиталната тр...

Според ново проучване остарелите наследени технологии пречат на орг...
15 юни 2024

Европол започва лов на отделни киберпрестъпници

След впечатляващото разбиване на ботнет само преди няколко дни межд...
14 юни 2024

Засилени киберзаплахи пред Евро 2024

Евро 2024  в Германия започва след няколко часа и ще завърши след м...

Ню Йорк Таймс предупреждава фрийлансърите си за...

Ню Йорк Таймс уведоми неразкрит брой сътрудници, че част от чувстви...
14 юни 2024

YouTube преминава към инжектиране на реклами от...

Съобщава се, че YouTube вече вкарва реклами директно във видеопотоц...
14 юни 2024

Как да повишим киберсигурността на компаниите з...

Технологичният пейзаж се променя бързо, което поставя нови предизви...
Бъдете социални
Още по темата
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
14/06/2024

Засилени киберзаплахи пред ...

Евро 2024  в Германия започва след...
12/06/2024

Съвети за отпускарския сезон

Лятото чука на вратата и се...
Последно добавени
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Чък Робинс: "Нашата работа ...

Бившият главен изпълнителен директор на Splunk...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!