Крупнейшая телекоммуникационная компания Азии подверглась атаке, которая оставалась незамеченной более четырех лет, сообщает фирма реагирования на инциденты Sygnia.
Атака была проведена группой «Weaver Ant» — коллективом, ассоциированным с китайским государственным кибершпионажем, целью которого являлось получение и сохранение непрерывного доступа к системам телекоммуникационного провайдера для сбора конфиденциальной информации.
Хакеры воспользовались уязвимостью публично доступного веб-приложения, установив два различных веб-оболочки. Одна из них представляла зашифрованную версию инструмента China Chopper, а другая — ранее неизвестный вредоносный инструмент под названием INMemory.
Программа INMemory способна декодировать строки в формате Base64 и выполнять C код, внедренный в портативный исполняемый файл eval.dll, посредством HTTP-запроса, при этом вся операция происходит исключительно в оперативной памяти, что не оставляет следов на диске.
Для обеспечения дальнейшего продвижения по сети злоумышленники использовали рекурсивный HTTP-туннель через SMB, а также патчили Event Tracing for Windows (ETW) и Antimalware Scan Interface (AMSI), что позволяло обходить стандартные средства обнаружения.
Активность, проводимая в рабочие часы, организация ORB-сети с использованием маршрутизаторов Zyxel и внедрение Outlook-бэкдора, ранее приписываемого группе Emissary Panda, являются дополнительными признаками наличия прямой связи с китайскими структурами.
Одновременно с этим министерство государственной безопасности Китая обвинило четырех тайваньских хакеров, предполагаемо связанных с командованием информационных, коммуникационных и электронных сил (ICEFCOM), в кибератаках против материкового Китая.
Обвиняемые использовали такие инструменты, как AntSword, IceScorpion, М⃰sploit и Quasar RAT, применяя технику spear-phishing для внедрения C++-троянов и разворачивания инфраструктуры командного и управляющего центра на базе Cobalt Strike и Sliver, а также эксплуатировали уязвимости и слабые пароли в устройствах интернета вещей, что подтверждают отчеты QiAnXin и Antiy.
Изображение носит иллюстративный характер
Атака была проведена группой «Weaver Ant» — коллективом, ассоциированным с китайским государственным кибершпионажем, целью которого являлось получение и сохранение непрерывного доступа к системам телекоммуникационного провайдера для сбора конфиденциальной информации.
Хакеры воспользовались уязвимостью публично доступного веб-приложения, установив два различных веб-оболочки. Одна из них представляла зашифрованную версию инструмента China Chopper, а другая — ранее неизвестный вредоносный инструмент под названием INMemory.
Программа INMemory способна декодировать строки в формате Base64 и выполнять C код, внедренный в портативный исполняемый файл eval.dll, посредством HTTP-запроса, при этом вся операция происходит исключительно в оперативной памяти, что не оставляет следов на диске.
Для обеспечения дальнейшего продвижения по сети злоумышленники использовали рекурсивный HTTP-туннель через SMB, а также патчили Event Tracing for Windows (ETW) и Antimalware Scan Interface (AMSI), что позволяло обходить стандартные средства обнаружения.
Активность, проводимая в рабочие часы, организация ORB-сети с использованием маршрутизаторов Zyxel и внедрение Outlook-бэкдора, ранее приписываемого группе Emissary Panda, являются дополнительными признаками наличия прямой связи с китайскими структурами.
Одновременно с этим министерство государственной безопасности Китая обвинило четырех тайваньских хакеров, предполагаемо связанных с командованием информационных, коммуникационных и электронных сил (ICEFCOM), в кибератаках против материкового Китая.
Обвиняемые использовали такие инструменты, как AntSword, IceScorpion, М⃰sploit и Quasar RAT, применяя технику spear-phishing для внедрения C++-троянов и разворачивания инфраструктуры командного и управляющего центра на базе Cobalt Strike и Sliver, а также эксплуатировали уязвимости и слабые пароли в устройствах интернета вещей, что подтверждают отчеты QiAnXin и Antiy.