- 24,489
- 46
- 8 Ноя 2022
Группа ChainedShark более года похищала данные о морских технологиях Китая.
В 2025 году специалисты лаборатории киберразведки компании NSFOCUS рассказали о новой хакерской группе, которая почти год тихо охотилась за научными данными китайских университетов и исследовательских центров. Группу назвали ChainedShark. Её атаки оказались не разрозненными попытками взлома, а продуманной кампанией с чёткими целями и сложной технической базой.
По данным исследователей, активность ChainedShark началась не позже мая 2024 года. Основной интерес злоумышленников связан с научной средой Китая. Под удар попадали сотрудники вузов и научных организаций, которые занимаются международными отношениями и морскими технологиями. Нападавшие стремились получить закрытые материалы и аналитические сведения, связанные с дипломатией и разработками в морской сфере.
Отдельное внимание привлёк уровень социальной инженерии . Злоумышленники рассылали письма на хорошем китайском языке и маскировали их под привычные для научного сообщества поводы. В ход шли приглашения на конференции и предложения опубликовать научные статьи. Такие письма выглядели правдоподобно и не вызывали подозрений, поэтому получатели чаще открывали вложения и переходили по ссылкам.
С технической стороны операции напоминали работу государственной кибергруппы. В атаках использовали известные уязвимости, для которых уже вышли исправления, но не все успели их установить. Также применялись собственные вредоносные программы с продуманной схемой запуска и скрытности. Инструменты старались запутать анализ и затруднить расследование после заражения.
Первая выявленная волна атак в мае 2024 года оказалась самой сложной по устройству. Тогда применили специально написанный вредоносный модуль под названием LinkedShell. Он отличался глубокой настройкой под цели и умел скрывать следы работы в системе. Это говорит о том, что к началу кампании у группы уже был серьёзный задел по собственным разработкам. Позже, с августа по ноябрь 2024 года, тактика изменилась. Нападавшие начали активнее использовать уже раскрытую уязвимость GrimResource , о которой публично сообщили в июне того же года. За счёт этого цепочка заражения стала проще, а подготовка атак требовала меньше ресурсов.
В 2025 году специалисты лаборатории киберразведки компании NSFOCUS рассказали о новой хакерской группе, которая почти год тихо охотилась за научными данными китайских университетов и исследовательских центров. Группу назвали ChainedShark. Её атаки оказались не разрозненными попытками взлома, а продуманной кампанией с чёткими целями и сложной технической базой.
По данным исследователей, активность ChainedShark началась не позже мая 2024 года. Основной интерес злоумышленников связан с научной средой Китая. Под удар попадали сотрудники вузов и научных организаций, которые занимаются международными отношениями и морскими технологиями. Нападавшие стремились получить закрытые материалы и аналитические сведения, связанные с дипломатией и разработками в морской сфере.
Отдельное внимание привлёк уровень социальной инженерии . Злоумышленники рассылали письма на хорошем китайском языке и маскировали их под привычные для научного сообщества поводы. В ход шли приглашения на конференции и предложения опубликовать научные статьи. Такие письма выглядели правдоподобно и не вызывали подозрений, поэтому получатели чаще открывали вложения и переходили по ссылкам.
С технической стороны операции напоминали работу государственной кибергруппы. В атаках использовали известные уязвимости, для которых уже вышли исправления, но не все успели их установить. Также применялись собственные вредоносные программы с продуманной схемой запуска и скрытности. Инструменты старались запутать анализ и затруднить расследование после заражения.
Первая выявленная волна атак в мае 2024 года оказалась самой сложной по устройству. Тогда применили специально написанный вредоносный модуль под названием LinkedShell. Он отличался глубокой настройкой под цели и умел скрывать следы работы в системе. Это говорит о том, что к началу кампании у группы уже был серьёзный задел по собственным разработкам. Позже, с августа по ноябрь 2024 года, тактика изменилась. Нападавшие начали активнее использовать уже раскрытую уязвимость GrimResource , о которой публично сообщили в июне того же года. За счёт этого цепочка заражения стала проще, а подготовка атак требовала меньше ресурсов.
- Источник новости
- www.securitylab.ru
