Високопоставени правителствени структури в Югоизточна Азия са обект на кампания за кибершпионаж, предприета от китайска групировка, известна като Sharp Panda, от края на миналата година.
Проникванията се характеризират с използването на нова версия на модулната рамка Soul, което бележи отклонение от веригите за атаки на групата, наблюдавани през 2021 г.
Израелската компания за киберсигурност Check Point заяви, че „дългогодишните“ дейности в миналото са били насочени към страни като Виетнам, Тайланд и Индонезия. Sharp Panda е документирана за първи път от фирмата през юни 2021 г., като я описва като „високоорганизирана банда, която полага значителни усилия, за да остане под радара“.
Интересно е, че използването на задната вратичка Soul е описано подробно от Symantec на Broadcom през октомври 2021 г. във връзка с непризната шпионска операция, насочена към секторите на отбраната, здравеопазването и ИКТ в Югоизточна Азия.
Произходът на импланта, според изследване, публикувано от Fortinet FortiGuard Labs през февруари 2022 г., датира още от октомври 2017 г., като зловредният софтуер използва повторно код от Gh0st RAT и други публично достъпни инструменти.
Веригата на атаката, описана подробно от Check Point, започва с копие-фишинг имейл, съдържащ примамлив документ, който използва оръжието Royal Road Rich Text Format (RTF), за да пусне програма за изтегляне чрез използване на една от няколкото уязвимости в редактора на уравнения на Microsoft.
На свой ред даунлоудърът е проектиран да изтегли зареждащо устройство, известно като SoulSearcher, от географски ограничен сървър за управление и контрол (C&C), който отговаря само на заявки, идващи от IP адреси, съответстващи на целевите държави.
След това зареждащият модул отговаря за изтеглянето, декриптирането и изпълнението на задната врата на Soul и другите ѝ компоненти, като по този начин позволява на противника да събира широк спектър от информация.
„Основният модул Soul отговаря за комуникацията със C&C сървъра и основната му цел е да получава и зарежда в паметта допълнителни модули“, казват от Check Point.
„Интересно е, че конфигурацията на задната врата съдържа функция, подобна на „радиомълчание“, при която хакерите могат да определят конкретни часове в седмицата, когато задната врата няма право да комуникира със C&C сървъра.“
Констатациите са още един признак за споделянето на инструменти, което е широко разпространено сред китайските групи за напреднали устойчиви заплахи (APT), за да се улесни събирането на разузнавателна информация.
„Въпреки че рамката Soul се използва поне от 2017 г., хакерите, които стоят зад нея, непрекъснато актуализират и усъвършенстват нейната архитектура и възможности“, заяви компанията.
Тя отбеляза още, че кампанията вероятно е „организирана от APT, подкрепяни от Китай, чиито други инструменти, възможности и позиция в по-широката мрежа от шпионски дейности предстои да бъдат проучени“.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.