Компания раскрыла причастность Китая к шпионажу и инструменты хакеров.
Компания Censys Для просмотра ссылки Войдиили Зарегистрируйся о новой кибершпионской кампании ArcaneDoor, предположительно связанной с Китаем. Сообщается, что атаки начались в июле 2023 года, а первая атака была зафиксирована в январе 2024 года.
Атаки проводились группой UAT4356 (Storm-1849), которая использовала два типа вредоносного ПО: Line Runner и Line Dancer. Программы были внедрены через уязвимости в устройствах Для просмотра ссылки Войдиили Зарегистрируйся уже устранённые разработчиками ( Для просмотра ссылки Войди или Зарегистрируйся с оценкой CVSS 8.6 и Для просмотра ссылки Войди или Зарегистрируйся с оценкой CVSS 6.0).
В рамках исследования было установлено, что злоумышленники проявляли интерес к серверам Microsoft Exchange и устройствам других производителей. После анализа IP-адресов хакеров Censys отметила, что здесь возможно присутствие Китая. 4 из 5 хостов, использующих SSL-сертификаты, связанные с инфраструктурой злоумышленников, находятся в сетях Tencent и ChinaNet.
Найденные хосты
Кроме того, один из хостов находится в Париже и связан с антицензурным инструментом Для просмотра ссылки Войдиили Зарегистрируйся Учитывая, что Marzban был разработан китайскими разработчиками, очевидно, что он был создан с целью обхода Великого Китайского Файервола (Great Firewall, Золотой Щит).
Определение того, спонсируются ли кибератаки Китайскими властями, требует комплексного подхода. Хотя анализ сетей, в которых размещена инфраструктура хакеров, является частью головоломки, существуют и другие факторы, которые следует учитывать, такие как методы атак, жертвы и геополитический контекст. Вполне вероятно, что расследование специалистов продолжится по мере получения более подробной информации о целях атак.
Ранее Cisco Для просмотра ссылки Войдиили Зарегистрируйся что устройства Adaptive Security Appliances, объединяющие брандмауэр, VPN и другие защитные компоненты, были скомпрометированы хакерской группировкой, по всей видимости, связанной с одним из недружественных государств. Взломщики воспользовались двумя ранее неизвестными уязвимостями в продуктах Cisco для получения доступа к правительственным объектам в разных странах мира. Кибератака получила название ArcaneDoor.
Компания Censys Для просмотра ссылки Войди
Атаки проводились группой UAT4356 (Storm-1849), которая использовала два типа вредоносного ПО: Line Runner и Line Dancer. Программы были внедрены через уязвимости в устройствах Для просмотра ссылки Войди
В рамках исследования было установлено, что злоумышленники проявляли интерес к серверам Microsoft Exchange и устройствам других производителей. После анализа IP-адресов хакеров Censys отметила, что здесь возможно присутствие Китая. 4 из 5 хостов, использующих SSL-сертификаты, связанные с инфраструктурой злоумышленников, находятся в сетях Tencent и ChinaNet.
Найденные хосты
Кроме того, один из хостов находится в Париже и связан с антицензурным инструментом Для просмотра ссылки Войди
Определение того, спонсируются ли кибератаки Китайскими властями, требует комплексного подхода. Хотя анализ сетей, в которых размещена инфраструктура хакеров, является частью головоломки, существуют и другие факторы, которые следует учитывать, такие как методы атак, жертвы и геополитический контекст. Вполне вероятно, что расследование специалистов продолжится по мере получения более подробной информации о целях атак.
Ранее Cisco Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru