- 13,850
- 20
- 8 Ноя 2022
Кибершпионы использовали сложные схемы маскировки для сокрытия своих действий.
Исследовательский институт на Тайване, связанный с правительством, стал жертвой кибератаки, Для просмотра ссылки Войдиили Зарегистрируйся компанией Cisco Talos . Атака, произошедшая в июле 2023 года, привела к заражению систем института вредоносным ПО ShadowPad и Cobalt Strike . Специалисты связывают эту кампанию с хакерской группировкой APT41, которая, по мнению американских властей, имеет связи с Китаем.
Cisco Talos обнаружила аномальные команды PowerShell , подключающиеся к IP-адресу для загрузки и выполнения скриптов. Вредоносное ПО ShadowPad использовало уязвимую версию Microsoft Office IME для запуска своего загрузчика. APT41 также создала специальный загрузчик для эксплуатации уязвимости Для просмотра ссылки Войдиили Зарегистрируйся позволяющей получить локальное повышение привилегий.
Исследователи отмечают, что использованные методы и инструменты соответствуют характерным для APT41, включая применение ShadowPad, Bitdefender и FileZilla. Несмотря на то, что окончательный вредоносный код ShadowPad не был найден, известно, что ShadowPad используется исключительно китайскими хакерскими группами.
Cobalt Strike, обнаруженный в ходе атаки, был разработан с использованием загрузчика CS-Avoid-Killing, нацеленного на избежание обнаружения антивирусами. Загрузчик написан на языке Go и содержит строки на упрощённом китайском языке, что подтверждает причастность китайских хакеров.
В ходе атаки злоумышленники скомпрометировали три хоста в целевой сети и смогли выгрузить ценные документы. Хакеры устанавливали веб-оболочки, использовали RDP и обратные оболочки для распространения вредоносного ПО.
APT41 также использовала инструменты для сбора паролей, включая Mimikatz и WebBrowserPassView. Хакеры выполняли команды для получения информации о пользователях, структуре директорий и сетевых конфигурациях. Для эксфильтрации данных преступники сжимали и шифровали файлы с помощью 7zip, а затем отправляли их на командный сервер.
В ходе анализа кампании были обнаружены два типа загрузчиков ShadowPad. Первый использовал старую версию Microsoft Office IME, второй был разработан с использованием уязвимой библиотеки Bitdefender. Оба типа загрузчиков использовали легитимные бинарные файлы для запуска вредоносного кода.
В ходе расследования были найдены интересные инструменты, использованные хакерами, включая UnmarshalPwn для эксплуатации CVE-2018-0824. Были выявлены и другие компоненты инфраструктуры, использованные в разных кампаниях той же группой хакеров.
Усложнение методов и инструментов, применяемых группировкой APT41, сигнализирует о растущей угрозе для организаций во всем мире. Этот инцидент подчёркивает критическую необходимость для компаний и учреждений постоянно совершенствовать свои системы кибербезопасности, регулярно обновлять программное обеспечение и проводить аудит уязвимостей.
Исследовательский институт на Тайване, связанный с правительством, стал жертвой кибератаки, Для просмотра ссылки Войди
Cisco Talos обнаружила аномальные команды PowerShell , подключающиеся к IP-адресу для загрузки и выполнения скриптов. Вредоносное ПО ShadowPad использовало уязвимую версию Microsoft Office IME для запуска своего загрузчика. APT41 также создала специальный загрузчик для эксплуатации уязвимости Для просмотра ссылки Войди
Исследователи отмечают, что использованные методы и инструменты соответствуют характерным для APT41, включая применение ShadowPad, Bitdefender и FileZilla. Несмотря на то, что окончательный вредоносный код ShadowPad не был найден, известно, что ShadowPad используется исключительно китайскими хакерскими группами.
Cobalt Strike, обнаруженный в ходе атаки, был разработан с использованием загрузчика CS-Avoid-Killing, нацеленного на избежание обнаружения антивирусами. Загрузчик написан на языке Go и содержит строки на упрощённом китайском языке, что подтверждает причастность китайских хакеров.
В ходе атаки злоумышленники скомпрометировали три хоста в целевой сети и смогли выгрузить ценные документы. Хакеры устанавливали веб-оболочки, использовали RDP и обратные оболочки для распространения вредоносного ПО.
APT41 также использовала инструменты для сбора паролей, включая Mimikatz и WebBrowserPassView. Хакеры выполняли команды для получения информации о пользователях, структуре директорий и сетевых конфигурациях. Для эксфильтрации данных преступники сжимали и шифровали файлы с помощью 7zip, а затем отправляли их на командный сервер.
В ходе анализа кампании были обнаружены два типа загрузчиков ShadowPad. Первый использовал старую версию Microsoft Office IME, второй был разработан с использованием уязвимой библиотеки Bitdefender. Оба типа загрузчиков использовали легитимные бинарные файлы для запуска вредоносного кода.
В ходе расследования были найдены интересные инструменты, использованные хакерами, включая UnmarshalPwn для эксплуатации CVE-2018-0824. Были выявлены и другие компоненты инфраструктуры, использованные в разных кампаниях той же группой хакеров.
Усложнение методов и инструментов, применяемых группировкой APT41, сигнализирует о растущей угрозе для организаций во всем мире. Этот инцидент подчёркивает критическую необходимость для компаний и учреждений постоянно совершенствовать свои системы кибербезопасности, регулярно обновлять программное обеспечение и проводить аудит уязвимостей.
- Источник новости
- www.securitylab.ru
