Търсене
Close this search box.

Sharp Panda използва нова версия на Soul Framework, за да aтакува правителства

Високопоставени правителствени структури в Югоизточна Азия са обект на кампания за кибершпионаж, предприета от китайска групировка, известна като Sharp Panda, от края на миналата година.

Проникванията се характеризират с използването на нова версия на модулната рамка Soul, което бележи отклонение от веригите за атаки на групата, наблюдавани през 2021 г.

Израелската компания за киберсигурност Check Point заяви, че „дългогодишните“ дейности в миналото са били насочени към страни като Виетнам, Тайланд и Индонезия. Sharp Panda е документирана за първи път от фирмата през юни 2021 г., като я описва като „високоорганизирана банда, която полага значителни усилия, за да остане под радара“.

Интересно е, че използването на задната вратичка Soul е описано подробно от Symantec на Broadcom през октомври 2021 г. във връзка с непризната шпионска операция, насочена към секторите на отбраната, здравеопазването и ИКТ в Югоизточна Азия.

Произходът на импланта, според изследване, публикувано от Fortinet FortiGuard Labs през февруари 2022 г., датира още от октомври 2017 г., като зловредният софтуер използва повторно код от Gh0st RAT и други публично достъпни инструменти.

Веригата на атаката, описана подробно от Check Point, започва с копие-фишинг имейл, съдържащ примамлив документ, който използва оръжието Royal Road Rich Text Format (RTF), за да пусне програма за изтегляне чрез използване на една от няколкото уязвимости в редактора на уравнения на Microsoft.

На свой ред даунлоудърът е проектиран да изтегли зареждащо устройство, известно като SoulSearcher, от географски ограничен сървър за управление и контрол (C&C), който отговаря само на заявки, идващи от IP адреси, съответстващи на целевите държави.

След това зареждащият модул отговаря за изтеглянето, декриптирането и изпълнението на задната врата на Soul и другите ѝ компоненти, като по този начин позволява на противника да събира широк спектър от информация.

„Основният модул Soul отговаря за комуникацията със C&C сървъра и основната му цел е да получава и зарежда в паметта допълнителни модули“, казват от Check Point.

„Интересно е, че конфигурацията на задната врата съдържа функция, подобна на „радиомълчание“, при която хакерите могат да определят конкретни часове в седмицата, когато задната врата няма право да комуникира със C&C сървъра.“

Констатациите са още един признак за споделянето на инструменти, което е широко разпространено сред китайските групи за напреднали устойчиви заплахи (APT), за да се улесни събирането на разузнавателна информация.

„Въпреки че рамката Soul се използва поне от 2017 г., хакерите, които стоят зад нея, непрекъснато актуализират и усъвършенстват нейната архитектура и възможности“, заяви компанията.

Тя отбеляза още, че кампанията вероятно е „организирана от APT, подкрепяни от Китай, чиито други инструменти, възможности и позиция в по-широката мрежа от шпионски дейности предстои да бъдат проучени“.

Източник: The Hacker News

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...
Бъдете социални
Още по темата
24/07/2024

Китайските хакери разполага...

Китайската хакерска група, проследена като „Evasive...
23/07/2024

САЩ налагат санкции на руск...

Правителството на САЩ наложи санкции на...
13/07/2024

CISA издаде усъвършенствани...

Агенцията за киберсигурност и инфраструктурна сигурност...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!