Sharp Panda използва нова версия на Soul Framework, за да aтакува правителства

Високопоставени правителствени структури в Югоизточна Азия са обект на кампания за кибершпионаж, предприета от китайска групировка, известна като Sharp Panda, от края на миналата година.

Проникванията се характеризират с използването на нова версия на модулната рамка Soul, което бележи отклонение от веригите за атаки на групата, наблюдавани през 2021 г.

Израелската компания за киберсигурност Check Point заяви, че „дългогодишните“ дейности в миналото са били насочени към страни като Виетнам, Тайланд и Индонезия. Sharp Panda е документирана за първи път от фирмата през юни 2021 г., като я описва като „високоорганизирана банда, която полага значителни усилия, за да остане под радара“.

Интересно е, че използването на задната вратичка Soul е описано подробно от Symantec на Broadcom през октомври 2021 г. във връзка с непризната шпионска операция, насочена към секторите на отбраната, здравеопазването и ИКТ в Югоизточна Азия.

Произходът на импланта, според изследване, публикувано от Fortinet FortiGuard Labs през февруари 2022 г., датира още от октомври 2017 г., като зловредният софтуер използва повторно код от Gh0st RAT и други публично достъпни инструменти.

Веригата на атаката, описана подробно от Check Point, започва с копие-фишинг имейл, съдържащ примамлив документ, който използва оръжието Royal Road Rich Text Format (RTF), за да пусне програма за изтегляне чрез използване на една от няколкото уязвимости в редактора на уравнения на Microsoft.

На свой ред даунлоудърът е проектиран да изтегли зареждащо устройство, известно като SoulSearcher, от географски ограничен сървър за управление и контрол (C&C), който отговаря само на заявки, идващи от IP адреси, съответстващи на целевите държави.

След това зареждащият модул отговаря за изтеглянето, декриптирането и изпълнението на задната врата на Soul и другите ѝ компоненти, като по този начин позволява на противника да събира широк спектър от информация.

„Основният модул Soul отговаря за комуникацията със C&C сървъра и основната му цел е да получава и зарежда в паметта допълнителни модули“, казват от Check Point.

„Интересно е, че конфигурацията на задната врата съдържа функция, подобна на „радиомълчание“, при която хакерите могат да определят конкретни часове в седмицата, когато задната врата няма право да комуникира със C&C сървъра.“

Констатациите са още един признак за споделянето на инструменти, което е широко разпространено сред китайските групи за напреднали устойчиви заплахи (APT), за да се улесни събирането на разузнавателна информация.

„Въпреки че рамката Soul се използва поне от 2017 г., хакерите, които стоят зад нея, непрекъснато актуализират и усъвършенстват нейната архитектура и възможности“, заяви компанията.

Тя отбеляза още, че кампанията вероятно е „организирана от APT, подкрепяни от Китай, чиито други инструменти, възможности и позиция в по-широката мрежа от шпионски дейности предстои да бъдат проучени“.

Източник: The Hacker News

Подобни публикации

20 март 2023

Хакерите са се насочвали предимно към уязвимост...

Хакерите продължават да се насочват към уязвимостите от типа „...
20 март 2023

Препоръки на CISA за домашните мрежи - част1

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА За да се предотв...
20 март 2023

Windows 11 ще иска разрешение, преди да закача ...

Microsoft съобщава, че ще предостави на разработчиците нов API, кой...
19 март 2023

Winter Vivern е насочена към индийски, източное...

АРТ групата, известна като Winter Vivern, е свързана с кампании, на...
18 март 2023

Измерване на ефективността на SOC

Компаниите трябва да измерват ефективността във всички области на д...
17 март 2023

(ISC)² с програма за 1 000 000 безплатни курсов...

Искате да видите  себе си в киберсигурността? Не ви е необходим опи...
17 март 2023

Поддръжката на Microsoft краква Windows на клие...

При неочакван обрат инженер по поддръжката на Microsoft прибягва до...
Бъдете социални
Още по темата
20/03/2023

Хакерите са се насочвали пр...

Хакерите продължават да се насочват към...
19/03/2023

Winter Vivern е насочена къ...

АРТ групата, известна като Winter Vivern,...
15/03/2023

Белият дом пристъпва към об...

Белият дом направи историческа крачка към...
Последно добавени
20/03/2023

Хакерите са се насочвали пр...

Хакерите продължават да се насочват към...
20/03/2023

Препоръки на CISA за домашн...

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА...
20/03/2023

Windows 11 ще иска разрешен...

Microsoft съобщава, че ще предостави на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!