Азиатские правительства борются с «тихими» кибератаками.
За последние шесть месяцев между 2022 и 2023 годами постоянная продвинутая угроза ( APT ), известная как Gelsemium, активно атаковала правительства в Юго-Восточной Азии.
Группа Gelsemium известна с 2014 года. Её основные цели — государственные учреждения, образовательные институты и производители электроники в Восточной Азии и на Ближнем Востоке. В отчете ESET за 2021 год специалисты охарактеризовали группу как «тихую», акцентируя внимание на глубоких технических компетенциях, которые позволяли ей долгое время оставаться в тени.
Согласно Для просмотра ссылки Войдиили Зарегистрируйся исследовательской группы Unit 42 от Palo Alto Network, в новой кампании были задействованы уникальные бэкдоры.
Gelsemium использовала веб-шеллы для проникновения в систему, предположительно, эксплуатируя уязвимости серверов, доступных из интернета. Как показал анализ, среди применяемых веб-шеллов были «reGeorg», «China Chopper» и «AspxSpy». Инструменты находятся в открытом доступе и могут быть использованы различными группами злоумышленников, что затрудняет их идентификацию.
Через веб-шеллы Gelsemium осуществляла первоначальную разведку в сети, перемещалась в ней с помощью SMB и загружала дополнительные модули: OwlProxy, SessionManager, Cobalt Strike , SpoolFool и EarthWorm.
Хотя инструменты Cobalt Strike, EarthWorm и SpoolFool доступны публично и широко известны, OwlProxy довольно уникален. Когда-то он служил HTTP-прокси и бэкдором в атаках группы на правительство Тайваня.
В ходе последней кампании хакеры запускали программу на целевом компьютере, который, в свою очередь, копировал DLL-файл (wmipd.dll) и создавал системную службу для его выполнения. DLL-файл — модификация OwlProxy для отслеживания входящих HTTP-запросов и определенных URL-шаблонов.
Еще один инструмент Gelsemium — SessionManager. Этот модуль для системы IIS ранее обнаружили исследователи из Лаборатории Касперского. SessionManager анализирует входящие HTTP-запросы на наличие специальных записей в «Cookie». Такие записи содержат команды, которые позволяют злоумышленникам загружать файлы, запускать программы и даже соединяться с другими системами через зараженный сервер.
Команда Unit 42 отмечает настойчивость Gelsemium: группа использует несколько инструментов и адаптирует свои атаки даже после того, как некоторые из их бэкдоров были остановлены механизмами безопасности.
За последние шесть месяцев между 2022 и 2023 годами постоянная продвинутая угроза ( APT ), известная как Gelsemium, активно атаковала правительства в Юго-Восточной Азии.
Группа Gelsemium известна с 2014 года. Её основные цели — государственные учреждения, образовательные институты и производители электроники в Восточной Азии и на Ближнем Востоке. В отчете ESET за 2021 год специалисты охарактеризовали группу как «тихую», акцентируя внимание на глубоких технических компетенциях, которые позволяли ей долгое время оставаться в тени.
Согласно Для просмотра ссылки Войди
Gelsemium использовала веб-шеллы для проникновения в систему, предположительно, эксплуатируя уязвимости серверов, доступных из интернета. Как показал анализ, среди применяемых веб-шеллов были «reGeorg», «China Chopper» и «AspxSpy». Инструменты находятся в открытом доступе и могут быть использованы различными группами злоумышленников, что затрудняет их идентификацию.
Через веб-шеллы Gelsemium осуществляла первоначальную разведку в сети, перемещалась в ней с помощью SMB и загружала дополнительные модули: OwlProxy, SessionManager, Cobalt Strike , SpoolFool и EarthWorm.
Хотя инструменты Cobalt Strike, EarthWorm и SpoolFool доступны публично и широко известны, OwlProxy довольно уникален. Когда-то он служил HTTP-прокси и бэкдором в атаках группы на правительство Тайваня.
В ходе последней кампании хакеры запускали программу на целевом компьютере, который, в свою очередь, копировал DLL-файл (wmipd.dll) и создавал системную службу для его выполнения. DLL-файл — модификация OwlProxy для отслеживания входящих HTTP-запросов и определенных URL-шаблонов.
Еще один инструмент Gelsemium — SessionManager. Этот модуль для системы IIS ранее обнаружили исследователи из Лаборатории Касперского. SessionManager анализирует входящие HTTP-запросы на наличие специальных записей в «Cookie». Такие записи содержат команды, которые позволяют злоумышленникам загружать файлы, запускать программы и даже соединяться с другими системами через зараженный сервер.
Команда Unit 42 отмечает настойчивость Gelsemium: группа использует несколько инструментов и адаптирует свои атаки даже после того, как некоторые из их бэкдоров были остановлены механизмами безопасности.
- Источник новости
- www.securitylab.ru