Търсене
Close this search box.

Sharp Panda използва нова версия на Soul Framework, за да aтакува правителства

Високопоставени правителствени структури в Югоизточна Азия са обект на кампания за кибершпионаж, предприета от китайска групировка, известна като Sharp Panda, от края на миналата година.

Проникванията се характеризират с използването на нова версия на модулната рамка Soul, което бележи отклонение от веригите за атаки на групата, наблюдавани през 2021 г.

Израелската компания за киберсигурност Check Point заяви, че „дългогодишните“ дейности в миналото са били насочени към страни като Виетнам, Тайланд и Индонезия. Sharp Panda е документирана за първи път от фирмата през юни 2021 г., като я описва като „високоорганизирана банда, която полага значителни усилия, за да остане под радара“.

Интересно е, че използването на задната вратичка Soul е описано подробно от Symantec на Broadcom през октомври 2021 г. във връзка с непризната шпионска операция, насочена към секторите на отбраната, здравеопазването и ИКТ в Югоизточна Азия.

Произходът на импланта, според изследване, публикувано от Fortinet FortiGuard Labs през февруари 2022 г., датира още от октомври 2017 г., като зловредният софтуер използва повторно код от Gh0st RAT и други публично достъпни инструменти.

Веригата на атаката, описана подробно от Check Point, започва с копие-фишинг имейл, съдържащ примамлив документ, който използва оръжието Royal Road Rich Text Format (RTF), за да пусне програма за изтегляне чрез използване на една от няколкото уязвимости в редактора на уравнения на Microsoft.

На свой ред даунлоудърът е проектиран да изтегли зареждащо устройство, известно като SoulSearcher, от географски ограничен сървър за управление и контрол (C&C), който отговаря само на заявки, идващи от IP адреси, съответстващи на целевите държави.

След това зареждащият модул отговаря за изтеглянето, декриптирането и изпълнението на задната врата на Soul и другите ѝ компоненти, като по този начин позволява на противника да събира широк спектър от информация.

„Основният модул Soul отговаря за комуникацията със C&C сървъра и основната му цел е да получава и зарежда в паметта допълнителни модули“, казват от Check Point.

„Интересно е, че конфигурацията на задната врата съдържа функция, подобна на „радиомълчание“, при която хакерите могат да определят конкретни часове в седмицата, когато задната врата няма право да комуникира със C&C сървъра.“

Констатациите са още един признак за споделянето на инструменти, което е широко разпространено сред китайските групи за напреднали устойчиви заплахи (APT), за да се улесни събирането на разузнавателна информация.

„Въпреки че рамката Soul се използва поне от 2017 г., хакерите, които стоят зад нея, непрекъснато актуализират и усъвършенстват нейната архитектура и възможности“, заяви компанията.

Тя отбеляза още, че кампанията вероятно е „организирана от APT, подкрепяни от Китай, чиито други инструменти, възможности и позиция в по-широката мрежа от шпионски дейности предстои да бъдат проучени“.

Източник: The Hacker News

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
26 февруари 2024

Организациите са изправени пред големи санкции ...

Това може да се превърне в кошмар за правоприлагащите органи –...
26 февруари 2024

Малави спря издаването на паспорти заради кибер...

Съобщава се, че правителството на Малави е спряло издаването на пас...
Бъдете социални
Още по темата
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
27/02/2024

САЩ и НАТО: Руските хакери ...

Членовете на разузнавателния алианс „Пет очи“...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!