Trend Micro раскрыла подробности о бэкдоре для шпионажа в сетях инфраструктуры.
Китайская группировка Salt Typhoon использует новый бэкдор GhostSpider для атак на телекоммуникационные компании. Новый инструмент был замечен в ходе атак на критически важную инфраструктуру и правительственные организации по всему миру.
Кроме GhostSpider, Salt Typhoon применяет другие инструменты, включая Linux-бэкдор Masol RAT, руткит Demodex и модульный бэкдор SnappyBee, который также используется другими китайскими APT-группами.
Trend Micro Для просмотра ссылки Войдиили Зарегистрируйся две основные операции Salt Typhoon. Первая, под названием Alpha, была направлена на правительство Тайваня и химические компании. В кампании использовались вирусы Demodex и SnappyBee. Вторая операция, Beta, нацелена на длительный шпионаж в Юго-Восточной Азии. Здесь применялись GhostSpider и Demodex.
Для взлома группа использует уязвимости в популярных программах и сервисах, таких как Ivanti Connect Secure VPN, Fortinet FortiClient EMS, Sophos Firewall, Microsoft Exchange. После взлома хакеры применяют специальные инструменты для сбора данных и перемещения по внутренней сети.
GhostSpider — модульный бэкдор, предназначенный для длительных операций шпионажа. Его отличает высокий уровень скрытности: инструмент работает исключительно в оперативной памяти и использует шифрование. Бэкдор загружается через DLL Hijacking, регистрируется как служба с помощью «regsvr32.exe» и взаимодействует с сервером управления через зашифрованные команды в HTTP-заголовках и cookie.
Основные функции GhostSpider включают:
Trend Micro сообщает, что атаки Salt Typhoon охватывают телекоммуникационные, государственные, технологические, консалтинговые, химические и транспортные секторы в США, Азиатско-Тихоокеанском регионе, на Ближнем Востоке, в Южной Африке и других регионах. Подтверждено не менее двадцати случаев успешных компрометаций критически важных организаций, включая их поставщиков.
Группировка, известная также под названиями Earth Estries, GhostEmperor и UNC2286, активно действует с 2019 года, нацеливаясь на правительственные учреждения и телекоммуникационные компании. Недавно в США Для просмотра ссылки Войдиили Зарегистрируйся причастность группы к успешным взломам таких компаний, как Verizon, AT&T, Lumen Technologies и T-Mobile. В Для просмотра ссылки Войди или Зарегистрируйся хакеры получили доступ к частной переписке некоторых американских чиновников и Для просмотра ссылки Войди или Зарегистрируйся которые используются для прослушивания по судебным запросам.
На прошлой неделе лидеры крупнейших американских телекоммуникационных компаний Для просмотра ссылки Войдиили Зарегистрируйся для обсуждения масштабного проникновения китайских хакеров в системы связи. Группа Salt Typhoon незаметно Для просмотра ссылки Войди или Зарегистрируйся внутри сетей крупнейших телекоммуникационных компаний США почти год.
Китайская группировка Salt Typhoon использует новый бэкдор GhostSpider для атак на телекоммуникационные компании. Новый инструмент был замечен в ходе атак на критически важную инфраструктуру и правительственные организации по всему миру.
Кроме GhostSpider, Salt Typhoon применяет другие инструменты, включая Linux-бэкдор Masol RAT, руткит Demodex и модульный бэкдор SnappyBee, который также используется другими китайскими APT-группами.
Trend Micro Для просмотра ссылки Войди
Для взлома группа использует уязвимости в популярных программах и сервисах, таких как Ivanti Connect Secure VPN, Fortinet FortiClient EMS, Sophos Firewall, Microsoft Exchange. После взлома хакеры применяют специальные инструменты для сбора данных и перемещения по внутренней сети.
GhostSpider — модульный бэкдор, предназначенный для длительных операций шпионажа. Его отличает высокий уровень скрытности: инструмент работает исключительно в оперативной памяти и использует шифрование. Бэкдор загружается через DLL Hijacking, регистрируется как служба с помощью «regsvr32.exe» и взаимодействует с сервером управления через зашифрованные команды в HTTP-заголовках и cookie.
Основные функции GhostSpider включают:
- Загрузка и выполнение модулей в памяти;
- Эксплуатация данных жертвы и манипуляции системой;
- Поддержание связи с сервером для координации атак.
- SnappyBee: бэкдор для долгосрочного доступа и шпионажа;
- Masol RAT: кроссплатформенный бэкдор для Linux;
- Demodex: руткит для сокрытия присутствия;
- ShadowPad: модульная платформа для развертывания вредоносных плагинов;
- Cobalt Strike и другие инструменты для эскалации привилегий и удаленного управления.
Trend Micro сообщает, что атаки Salt Typhoon охватывают телекоммуникационные, государственные, технологические, консалтинговые, химические и транспортные секторы в США, Азиатско-Тихоокеанском регионе, на Ближнем Востоке, в Южной Африке и других регионах. Подтверждено не менее двадцати случаев успешных компрометаций критически важных организаций, включая их поставщиков.
Группировка, известная также под названиями Earth Estries, GhostEmperor и UNC2286, активно действует с 2019 года, нацеливаясь на правительственные учреждения и телекоммуникационные компании. Недавно в США Для просмотра ссылки Войди
На прошлой неделе лидеры крупнейших американских телекоммуникационных компаний Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru