Новости Азиатский кризис: Китай ведет массовый шпионаж в Азии

[NewsMaker]

В азиатском регионе произошёл налёт нескольких китайских групп с инструментами для слежки и кражи данных.

---

---

Специалисты подразделения Unit 42 ИБ-компании Palo Alto Networks Для просмотра ссылки Войди или Зарегистрируйся , что неназванное правительство Юго-Восточной Азии стало целью нескольких китайских хакерских группировок, проводивших шпионские кампании в регионе на протяжении длительного времени. Деятельность происходила примерно в одно и то же время и иногда даже одновременно на одних и тех же компьютерах жертв, но каждая группа использовала уникальные инструменты, методы работы и инфраструктуру.

Атаки, нацеленные на различные госорганы, включая критическую инфраструктуру, общественные медицинские учреждения и министерства, были приписаны трем различным группам: Stately Taurus (Mustang Panda), Alloy Taurus (Granite Typhoon) и Gelsemium.

• Mustang Panda использовала варианты TONESHELL и ShadowPad . Основная цель – сбор разведданных и кража конфиденциальной информации. В ходе кампании злоумышленники контролировали среду жертв, сосредотачиваясь на долгосрочном управлении. Среди инструментариев группировки — Для просмотра ссылки Войди или Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">, Mimikatz , Impacket , веб-оболочки </span> Для просмотра ссылки Войди или Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">, Cobalt Strike , ShadowPad и новая версия бэкдора </span> Для просмотра ссылки Войди или Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">.</span>

• <b style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">Alloy Tauru</b><b style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">s</b><span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> старалась оставаться незамеченной. Группа начала свои действия в начале 2022 года и продолжала их на протяжении 2023 года, используя необычные методы заражения и обходя средства безопасности. </span>Хакеры эксплуатировали уязвимости в Microsoft Exchange Server для развертывания веб-оболочек и дополнительных загрузок, в числе которых .NET-бэкдоры Zapoa и ReShell для удаленного выполнения произвольных команд и сбора конфиденциальной информации.

• <b style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">Gelsemium</b><span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> сосредотачивалась на уязвимых IIS -серверах. Группа была активна в течение шести месяцев между 2022 и 2023 годами. Злоумышленники Для просмотра ссылки Войди или Зарегистрируйся к чувствительным IIS-серверам Microsoft правительства Юго-Восточной Азии. </span>Инвентарь группы включает бэкдоры OwlProxy и SessionManager, а также инструменты Cobalt Strike, Meterpreter, Earthworm и SpoolFool для постэксплуатации, туннелирования трафика и повышения привилегий.

Поскольку некоторые попытки злоумышленников установить вредоносное ПО оказались безуспешными, они продолжали использовать новые инструменты, демонстрируя свою способность адаптироваться к процессу смягчения последствий.

Ранее сообщалось, что китайская хакерская группа Mustang Panda, занимающаяся кибершпионажем, Для просмотра ссылки Войди или Зарегистрируйся под названием «MQsTTang». Новый бэкдор MQsTTang, похоже, не основан на известных вредоносных программах. Данный факт указывает на то, что хакеры, скорее всего, разработали MQsTTang с нуля, чтобы затруднить обнаружение вредоноса антивирусными продуктами.

Также в апреле стало известно, что хакеры группы Alloy Taurus Для просмотра ссылки Войди или Зарегистрируйся новый вариант RAT-трояна PingPull и ранее незадокументированный бэкдор Sword2033. PingPull использовался в шпионских атаках группы.