- 20,163
- 46
- 8 Ноя 2022
В азиатском регионе произошёл налёт нескольких китайских групп с инструментами для слежки и кражи данных.
Специалисты подразделения Unit 42 ИБ-компании Palo Alto Networks сообщают , что неназванное правительство Юго-Восточной Азии стало целью нескольких китайских хакерских группировок, проводивших шпионские кампании в регионе на протяжении длительного времени. Деятельность происходила примерно в одно и то же время и иногда даже одновременно на одних и тех же компьютерах жертв, но каждая группа использовала уникальные инструменты, методы работы и инфраструктуру.
Атаки, нацеленные на различные госорганы, включая критическую инфраструктуру, общественные медицинские учреждения и министерства, были приписаны трем различным группам: Stately Taurus (Mustang Panda), Alloy Taurus (Granite Typhoon) и Gelsemium.
Поскольку некоторые попытки злоумышленников установить вредоносное ПО оказались безуспешными, они продолжали использовать новые инструменты, демонстрируя свою способность адаптироваться к процессу смягчения последствий.
Ранее сообщалось, что китайская хакерская группа Mustang Panda, занимающаяся кибершпионажем, была замечена в развертывании нового пользовательского бэкдора под названием «MQsTTang». Новый бэкдор MQsTTang, похоже, не основан на известных вредоносных программах. Данный факт указывает на то, что хакеры, скорее всего, разработали MQsTTang с нуля, чтобы затруднить обнаружение вредоноса антивирусными продуктами.
Также в апреле стало известно, что хакеры группы Alloy Taurus используют новый вариант RAT-трояна PingPull и ранее незадокументированный бэкдор Sword2033. PingPull использовался в шпионских атаках группы.
Специалисты подразделения Unit 42 ИБ-компании Palo Alto Networks сообщают , что неназванное правительство Юго-Восточной Азии стало целью нескольких китайских хакерских группировок, проводивших шпионские кампании в регионе на протяжении длительного времени. Деятельность происходила примерно в одно и то же время и иногда даже одновременно на одних и тех же компьютерах жертв, но каждая группа использовала уникальные инструменты, методы работы и инфраструктуру.
Атаки, нацеленные на различные госорганы, включая критическую инфраструктуру, общественные медицинские учреждения и министерства, были приписаны трем различным группам: Stately Taurus (Mustang Panda), Alloy Taurus (Granite Typhoon) и Gelsemium.
- Mustang Panda использовала варианты TONESHELL и ShadowPad . Основная цель – сбор разведданных и кража конфиденциальной информации. В ходе кампании злоумышленники контролировали среду жертв, сосредотачиваясь на долгосрочном управлении. Среди инструментариев группировки — AdFind <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">, Mimikatz , Impacket , веб-оболочки </span> China Chopper <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">, Cobalt Strike , ShadowPad и новая версия бэкдора </span> TONESHELL <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">.</span>
- <b style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">Alloy Tauru</b><b style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">s</b><span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> старалась оставаться незамеченной. Группа начала свои действия в начале 2022 года и продолжала их на протяжении 2023 года, используя необычные методы заражения и обходя средства безопасности. </span>Хакеры эксплуатировали уязвимости в Microsoft Exchange Server для развертывания веб-оболочек и дополнительных загрузок, в числе которых .NET-бэкдоры Zapoa и ReShell для удаленного выполнения произвольных команд и сбора конфиденциальной информации.
- <b style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">Gelsemium</b><span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> сосредотачивалась на уязвимых IIS -серверах. Группа была активна в течение шести месяцев между 2022 и 2023 годами. Злоумышленники использовали редкие инструменты и методы для получения доступа к чувствительным IIS-серверам Microsoft правительства Юго-Восточной Азии. </span>Инвентарь группы включает бэкдоры OwlProxy и SessionManager, а также инструменты Cobalt Strike, Meterpreter, Earthworm и SpoolFool для постэксплуатации, туннелирования трафика и повышения привилегий.
Поскольку некоторые попытки злоумышленников установить вредоносное ПО оказались безуспешными, они продолжали использовать новые инструменты, демонстрируя свою способность адаптироваться к процессу смягчения последствий.
Ранее сообщалось, что китайская хакерская группа Mustang Panda, занимающаяся кибершпионажем, была замечена в развертывании нового пользовательского бэкдора под названием «MQsTTang». Новый бэкдор MQsTTang, похоже, не основан на известных вредоносных программах. Данный факт указывает на то, что хакеры, скорее всего, разработали MQsTTang с нуля, чтобы затруднить обнаружение вредоноса антивирусными продуктами.
Также в апреле стало известно, что хакеры группы Alloy Taurus используют новый вариант RAT-трояна PingPull и ранее незадокументированный бэкдор Sword2033. PingPull использовался в шпионских атаках группы.
- Источник новости
- www.securitylab.ru
