Ssylka

Как "Aquatic Panda" осуществил глобальную шпионскую кампанию за 10 месяцев?

APT-группа "Aquatic Panda", связанная с Китаем, в период с января по октябрь 2022 года проводила активную операцию, получившую кодовое название "Operation FishMedley" от компании ESET.
Как "Aquatic Panda" осуществил глобальную шпионскую кампанию за 10 месяцев?
Изображение носит иллюстративный характер

В ходе кампании были атакованы семь организаций, включающих государственные учреждения, католические благотворительные организации, некоммерческие организации и аналитические центры. География нападений охватывала Тайвань, Венгрию, Турцию, Таиланд, Францию и Соединённые Штаты.

Операторы применяли ряд известных имплантов, характерных для групп, ориентированных на Китай. Среди используемых инструментов оказались ShadowPad, SodaMaster и Spyder, что подчеркивает схожесть методов с предыдущими атаками данного направления.

Группа известна под множеством названий – Bronze University, Charcoal Typhoon, Earth Lusca и RedHotel – и действует с 2019 года. Словацкая компания по кибербезопасности классифицирует её под именем "FishMonger".

Связь "Aquatic Panda" с группой Winnti, также известной как APT41, Barium и Bronze Atlas, является ключевым моментом в понимании структуры угрозы. Контрактор i-Soon осуществляет надзор над деятельностью, а несколько его сотрудников были обвинены Министерством юстиции США за участие в шпионских операциях в период с 2016 по 2023 год. Ранее группа принимала участие в кампании против университетов Гонконга в конце 2019 года с применением ShadowPad и Winnti.

В рамках кампании 2022 года применялось пять различных семейств вредоносного ПО. Загрузчик ScatterBee использовался для установки таких имплантов, как ShadowPad, Spyder, SodaMaster и ранее не зафиксированного C++-инструмента RPipeCommander, который применялся для организации реверс-шелла, выполнения команд через cmd.exe и сбора результатов против неустановленной государственной организации в Таиланде.

Начальный вектор доступа остался неизвестным, однако факт использования SodaMaster, ранее ассоциируемого с APT10, указывает на возможное совместное использование данного инструмента несколькими китайскими APT-группами.

Специалист по кибербезопасности Маттьё Фау отметил, что операторы не стесняются повторно применять известные импланты, такие как ShadowPad и SodaMaster, несмотря на их широкое раскрытие, что свидетельствует о систематическом повторении проверенных тактик.


Новое на сайте

15389Подземное таяние под фундаментом северной Америки 15388NASA показала астероид Doughaldjohanson с формой булавы 15387Запрет восьми искусственных красителей в продуктах США: план Роберта Кеннеди-младшего 15386Как зловредный Docker-модуль использует Teneo Web3 для добычи криптовалюты через... 15385Влияние плана 529 на размер финансовой помощи в вузах 15384Первое свидетельство социального потребления алкоголя среди шимпанзе 15383Возвращение беверли Найт на родную сцену Веллингтона 15382«Череп» Марса: неожиданная находка ровера Perseverance в кратере Джезеро 15381Внутренние угрозы безопасности: браузеры как слабое звено в корпоративной защите 15380Тайна столкновения в скоплении персея раскрыта 15379Уязвимость ConfusedComposer в GCP Cloud Composer открывает путь к эскалации привилегий 15378Как когнитивные тесты помогают воспитать послушного щенка 15377Почему астероид Дональджонсон удивляет геологов всей сложностью? 15376Почему забыть отравление едой невозможно? 15375Стальная гнездовая коробка на мосту: надежная защита для орланов и автомобилистов