- 13,850
- 20
- 8 Ноя 2022
Неизвестная группа атакует биомедицинские корпорации, но какие у неё мотивы?
Неизвестная до этого момента хакерская группировка стоит за рядом атак, нацеленных на организации в области производства, IT и биомедицины на Тайване.
Команда исследователей из Symantec Для просмотра ссылки Войдиили Зарегистрируйся к APT -группе под названием Grayling. Согласно данным специалистов, вредоносная кампания началась в феврале этого года и продолжалась по крайней мере до мая.
Вероятными целями в рамках этой деятельности, помимо тайваньских организаций, также стали правительственные учреждения, расположенные на островах Тихого океана, а также организации во Вьетнаме и США.
Особенностью данной активности стало использование хакерами Grayling уникальной техники DLL Sideloading , использующей кастомный дешифратор для развёртывания полезных нагрузок. «Мотивацией, стимулирующей эту деятельность, по-видимому, является сбор разведданных», — отмечается в Для просмотра ссылки Войдиили Зарегистрируйся Symantec.
В качестве начальной точки взлома исследователи упоминают эксплуатацию общедоступной инфраструктуры с последующим развёртыванием веб-оболочек для постоянного доступа.
Цепочки атаки активно используют технику DLL Sideloading через Для просмотра ссылки Войдиили Зарегистрируйся для последующего применения таких инструментов, как Cobalt Strike , NetSpy и Havoc Framework, а также дополнительных инструментов вроде Mimikatz .
DLL Sideloading — это популярный метод, используемый различными участниками угроз для обхода решений безопасности и обмана операционной системы Windows с целью выполнения вредоносного кода на целевой конечной точке.
«Получив первоначальный доступ к компьютерам жертв, злоумышленники предпринимают различные действия, включая повышение привилегий, сканирование сети и использование загрузчиков», — заявили в Symantec.
Стоит отметить, что использование DLL Sideloading в отношении SbieDll_Hook и SandboxieBITS.exe ранее наблюдалось в случае с APT-группой Naikon при атаках на военные организации в Юго-Восточной Азии. Однако между Grayling и Naikon пересечений специалистами обнаружено не было.
На сегодняшний день нет никаких доказательств того, что хакеры Grayling обменяли или продали полученную в ходе своей операции информацию. Эксперты предполагают, что мотивы группировки больше направлены на сбор разведданных.
Использование общедоступных инструментов рассматривается исследователями как попытка усложнить процесс определения источника атак, в то время как завершение системных процессов указывает на то, что уклонение от обнаружения является приоритетом этих киберпреступников, чтобы оставаться незамеченными в течение как можно более длительного периода времени.
«Интенсивная направленность на тайваньские организации указывает на то, что Grayling, вероятно, действуют из региона со стратегическим интересом к Тайваню», — добавили в компании Symantec.
Неизвестная до этого момента хакерская группировка стоит за рядом атак, нацеленных на организации в области производства, IT и биомедицины на Тайване.
Команда исследователей из Symantec Для просмотра ссылки Войди
Вероятными целями в рамках этой деятельности, помимо тайваньских организаций, также стали правительственные учреждения, расположенные на островах Тихого океана, а также организации во Вьетнаме и США.
Особенностью данной активности стало использование хакерами Grayling уникальной техники DLL Sideloading , использующей кастомный дешифратор для развёртывания полезных нагрузок. «Мотивацией, стимулирующей эту деятельность, по-видимому, является сбор разведданных», — отмечается в Для просмотра ссылки Войди
В качестве начальной точки взлома исследователи упоминают эксплуатацию общедоступной инфраструктуры с последующим развёртыванием веб-оболочек для постоянного доступа.
Цепочки атаки активно используют технику DLL Sideloading через Для просмотра ссылки Войди
DLL Sideloading — это популярный метод, используемый различными участниками угроз для обхода решений безопасности и обмана операционной системы Windows с целью выполнения вредоносного кода на целевой конечной точке.
«Получив первоначальный доступ к компьютерам жертв, злоумышленники предпринимают различные действия, включая повышение привилегий, сканирование сети и использование загрузчиков», — заявили в Symantec.
Стоит отметить, что использование DLL Sideloading в отношении SbieDll_Hook и SandboxieBITS.exe ранее наблюдалось в случае с APT-группой Naikon при атаках на военные организации в Юго-Восточной Азии. Однако между Grayling и Naikon пересечений специалистами обнаружено не было.
На сегодняшний день нет никаких доказательств того, что хакеры Grayling обменяли или продали полученную в ходе своей операции информацию. Эксперты предполагают, что мотивы группировки больше направлены на сбор разведданных.
Использование общедоступных инструментов рассматривается исследователями как попытка усложнить процесс определения источника атак, в то время как завершение системных процессов указывает на то, что уклонение от обнаружения является приоритетом этих киберпреступников, чтобы оставаться незамеченными в течение как можно более длительного периода времени.
«Интенсивная направленность на тайваньские организации указывает на то, что Grayling, вероятно, действуют из региона со стратегическим интересом к Тайваню», — добавили в компании Symantec.
- Источник новости
- www.securitylab.ru
