«Связанные с Китаем» распространители шпионского ПО, действующие с 2018 года, наконец-то разоблачены

Важные новости

«Связанные с Китаем» распространители шпионского ПО, действующие с 2018 года, наконец-то разоблачены

Bitdefender заявляет, что выследил и разоблачил онлайн-банду, которая действует с 2018 года практически бесследно и, вероятно, работает в интересах Китая.

Отчет антивируса Создатель подробно описывает злоумышленников, получивших прозвище Unfading Sea Haze, и их методы взлома компьютеров с ОС Windows и заражения их шпионским ПО, похищающим данные.

Атаки группы, которые затронули как минимум правительственные и военные цели, были » Утверждается, что он «сложный» и ориентирован на «гибкость и методы уклонения».

Происхождение и конечные цели Unfading Sea Haze не совсем ясны Bitdefender, но он с уверенностью заявляет, что расследованные им атаки не принадлежат уже известной организации. Согласно отчету, страной происхождения экипажа, вероятно, является Китай, в котором упоминаются нападения Unfading Sea Haze на страны, расположенные в Южно-Китайском море или вокруг него, использование инструментов, популярных в Китае, и конкретная техника, которая имеет сходство с другой, спонсируемой китайским государством. сущность, APT41.

Все это не является пустяком с точки зрения атрибуции и может быть преднамеренным запутыванием информации, но тем не менее, теперь вы знаете.

Южно-Китайское море является стратегически важным районом для Китая, и на его часть претендуют многие страны, такие как Малайзия, Филиппины и Вьетнам. В частности, Поднебесная претендует почти на все это, что отмечено так называемой линией девяти штрихов.

«Отсутствие точного совпадения и наличие этих наводящих на размышления улик рисуют картину изощренной угрозы. актер, связанный с китайской киберэкосистемой», — утверждают следователи.

В отчете отмечается, что Unfading Sea Haze впервые проник в компьютерные системы Windows не менее шести лет назад. Bitdefender смог подтвердить, что злоумышленники использовали целевой фишинг для получения доступа.

Целевой фишинг обычно указывает на то, что команда особенно заинтересована в нескольких целях, таких как инженеры, у которых можно украсть чертежи, или политики и активисты. подглядывать. И действительно, нам сообщили, что банда атаковала как минимум восемь организаций, большинство из которых были либо правительственными учреждениями, либо военными операциями.

Согласно исследованию, проведенному в среду, Unfading Sea Haze отправляла электронные письма с прикрепленными zip-архивами, содержащими файлы .LNK, замаскированные под документы, которые при открытии выполняли строку команд Windows.

Команды загружали файл с Unfading Sea Haze. сервер на диск, подождите десять секунд, а затем выполните файл через MSBuild.

В марте этого года команда улучшила его выполнение, чтобы избежать записи загруженного файла в хранилище, используя комбинацию Powershell и MSBuild, и вместо этого запускать его из памяти, что может помочь избежать обнаружения.

Мошеннический загруженный код будет создавать запланированные задачи, которые запускают безвредные программы, загружающие вредоносные файлы DLL: эти DLL будут шпионить за пользователем с помощью кейлоггеров, копировать конфиденциальные данные, хранящиеся в браузерах, и сканировать портативные диски для создания списков файлов.

< p>Все эти данные, включая любые файлы, которые нужно отфильтровать, будут отправлены шпионам через FTP с использованием Curl, с использованием сначала жестко закодированных учетных данных, а затем динамически генерируемых.

Опасно из-за их способность адаптироваться

В отчете Bitdefender утверждается, что отчасти эффективность атак была обусловлена ​​«плохой гигиеной учетных данных и неадекватными практиками установки исправлений на уязвимых устройствах и веб-сервисах». Другими словами, восемь организаций-жертв, большинство из которых были либо правительственными учреждениями, либо военными системами, в той или иной степени имели слабую безопасность.

С другой стороны, Unfading Sea Haze не обошлась без удачи. «Длительный период невидимости Unfading Sea Haze, превышающий пять лет для вероятного государственного субъекта, вызывает особую тревогу», — отмечает Bitdefender. «Их специальный арсенал вредоносного ПО, включающий семейство Gh0st RAT и Ps2dllLoader, демонстрирует гибкость и методы уклонения».

Злоумышленники, связанные с Unfading Sea Haze, постепенно меняли как свои методы, так и инструменты. Поскольку наряд был только что представлен, инновации могли быть частью плана, а не реакцией на опасные ситуации или другие инциденты.

Кибер-шпионы, поддерживаемые Китаем, не являются чем-то новым, и они широко распространены в глобальном масштабе: они скомпрометировали по меньшей мере 70 организаций и нацелились на более чем 116 организаций в 23 странах. Циники могут сказать, что Unfading Sea Haze остался незамеченным, потому что он не так уж важен в общей схеме вещей, хотя Bitdefender утверждает обратное, заявляя, что команда преследовала цели высокого уровня.

Мы попросили Bitdefender предоставить дополнительную информацию, и фирма отказалась. «Мы понимаем интерес общественности, но по соображениям безопасности мы не можем раскрывать информацию о конкретных странах или организациях», — объяснил The Register старший директор Стив Фиоре.

«Однако мы могут подтвердить, что цели напоминают те, которые обычно связаны с китайскими национальными субъектами. Наши лаборатории Bitdefender и команды MDR постоянно отслеживают ситуацию, чтобы предоставить дополнительную информацию».

Технические подробности, включая индикаторы компрометации, см. в отчете. , о том, как обнаруживать и блокировать атаки, подобные атакам Unfading Sea Haze. ®

Новости сегодня

Последние новости