Новости GhostSpider: Китай создал инструмент тотальной слежки

NewsMaker

I'm just a script
Премиум
14,126
20
8 Ноя 2022
Trend Micro раскрыла подробности о бэкдоре для шпионажа в сетях инфраструктуры.


hf8xaqkhjdsy2e98uk13nt1iyqduxnca.jpg


Китайская группировка Salt Typhoon использует новый бэкдор GhostSpider для атак на телекоммуникационные компании. Новый инструмент был замечен в ходе атак на критически важную инфраструктуру и правительственные организации по всему миру.

Кроме GhostSpider, Salt Typhoon применяет другие инструменты, включая Linux-бэкдор Masol RAT, руткит Demodex и модульный бэкдор SnappyBee, который также используется другими китайскими APT-группами.

Trend Micro Для просмотра ссылки Войди или Зарегистрируйся две основные операции Salt Typhoon. Первая, под названием Alpha, была направлена на правительство Тайваня и химические компании. В кампании использовались вирусы Demodex и SnappyBee. Вторая операция, Beta, нацелена на длительный шпионаж в Юго-Восточной Азии. Здесь применялись GhostSpider и Demodex.

Для взлома группа использует уязвимости в популярных программах и сервисах, таких как Ivanti Connect Secure VPN, Fortinet FortiClient EMS, Sophos Firewall, Microsoft Exchange. После взлома хакеры применяют специальные инструменты для сбора данных и перемещения по внутренней сети.

GhostSpider — модульный бэкдор, предназначенный для длительных операций шпионажа. Его отличает высокий уровень скрытности: инструмент работает исключительно в оперативной памяти и использует шифрование. Бэкдор загружается через DLL Hijacking, регистрируется как служба с помощью «regsvr32.exe» и взаимодействует с сервером управления через зашифрованные команды в HTTP-заголовках и cookie.

Основные функции GhostSpider включают:

  • Загрузка и выполнение модулей в памяти;
  • Эксплуатация данных жертвы и манипуляции системой;
  • Поддержание связи с сервером для координации атак.
В арсенал группы также входят:

  • SnappyBee: бэкдор для долгосрочного доступа и шпионажа;
  • Masol RAT: кроссплатформенный бэкдор для Linux;
  • Demodex: руткит для сокрытия присутствия;
  • ShadowPad: модульная платформа для развертывания вредоносных плагинов;
  • Cobalt Strike и другие инструменты для эскалации привилегий и удаленного управления.
Специалисты подчеркивают, что Salt Typhoon продолжает развивать свои методы, используя как собственные разработки, так и широкодоступные инструменты, усложняя их атрибуцию. Специалисты Trend Micro настоятельно рекомендуют организациям усиливать многослойную киберзащиту для предотвращения подобных атак.

Trend Micro сообщает, что атаки Salt Typhoon охватывают телекоммуникационные, государственные, технологические, консалтинговые, химические и транспортные секторы в США, Азиатско-Тихоокеанском регионе, на Ближнем Востоке, в Южной Африке и других регионах. Подтверждено не менее двадцати случаев успешных компрометаций критически важных организаций, включая их поставщиков.

Группировка, известная также под названиями Earth Estries, GhostEmperor и UNC2286, активно действует с 2019 года, нацеливаясь на правительственные учреждения и телекоммуникационные компании. Недавно в США Для просмотра ссылки Войди или Зарегистрируйся причастность группы к успешным взломам таких компаний, как Verizon, AT&T, Lumen Technologies и T-Mobile. В Для просмотра ссылки Войди или Зарегистрируйся хакеры получили доступ к частной переписке некоторых американских чиновников и Для просмотра ссылки Войди или Зарегистрируйся которые используются для прослушивания по судебным запросам.

На прошлой неделе лидеры крупнейших американских телекоммуникационных компаний Для просмотра ссылки Войди или Зарегистрируйся для обсуждения масштабного проникновения китайских хакеров в системы связи. Группа Salt Typhoon незаметно Для просмотра ссылки Войди или Зарегистрируйся внутри сетей крупнейших телекоммуникационных компаний США почти год.
 
Источник новости
www.securitylab.ru

Похожие темы