Ssylka

Незаметное проникновение

Крупнейшая телекоммуникационная компания Азии подверглась атаке, которая оставалась незамеченной более четырех лет, сообщает фирма реагирования на инциденты Sygnia.
Незаметное проникновение
Изображение носит иллюстративный характер

Атака была проведена группой «Weaver Ant» — коллективом, ассоциированным с китайским государственным кибершпионажем, целью которого являлось получение и сохранение непрерывного доступа к системам телекоммуникационного провайдера для сбора конфиденциальной информации.

Хакеры воспользовались уязвимостью публично доступного веб-приложения, установив два различных веб-оболочки. Одна из них представляла зашифрованную версию инструмента China Chopper, а другая — ранее неизвестный вредоносный инструмент под названием INMemory.

Программа INMemory способна декодировать строки в формате Base64 и выполнять C код, внедренный в портативный исполняемый файл eval.dll, посредством HTTP-запроса, при этом вся операция происходит исключительно в оперативной памяти, что не оставляет следов на диске.

Для обеспечения дальнейшего продвижения по сети злоумышленники использовали рекурсивный HTTP-туннель через SMB, а также патчили Event Tracing for Windows (ETW) и Antimalware Scan Interface (AMSI), что позволяло обходить стандартные средства обнаружения.

Активность, проводимая в рабочие часы, организация ORB-сети с использованием маршрутизаторов Zyxel и внедрение Outlook-бэкдора, ранее приписываемого группе Emissary Panda, являются дополнительными признаками наличия прямой связи с китайскими структурами.

Одновременно с этим министерство государственной безопасности Китая обвинило четырех тайваньских хакеров, предполагаемо связанных с командованием информационных, коммуникационных и электронных сил (ICEFCOM), в кибератаках против материкового Китая.

Обвиняемые использовали такие инструменты, как AntSword, IceScorpion, М⃰sploit и Quasar RAT, применяя технику spear-phishing для внедрения C++-троянов и разворачивания инфраструктуры командного и управляющего центра на базе Cobalt Strike и Sliver, а также эксплуатировали уязвимости и слабые пароли в устройствах интернета вещей, что подтверждают отчеты QiAnXin и Antiy.


Новое на сайте

15389Подземное таяние под фундаментом северной Америки 15388NASA показала астероид Doughaldjohanson с формой булавы 15387Запрет восьми искусственных красителей в продуктах США: план Роберта Кеннеди-младшего 15386Как зловредный Docker-модуль использует Teneo Web3 для добычи криптовалюты через... 15385Влияние плана 529 на размер финансовой помощи в вузах 15384Первое свидетельство социального потребления алкоголя среди шимпанзе 15383Возвращение беверли Найт на родную сцену Веллингтона 15382«Череп» Марса: неожиданная находка ровера Perseverance в кратере Джезеро 15381Внутренние угрозы безопасности: браузеры как слабое звено в корпоративной защите 15380Тайна столкновения в скоплении персея раскрыта 15379Уязвимость ConfusedComposer в GCP Cloud Composer открывает путь к эскалации привилегий 15378Как когнитивные тесты помогают воспитать послушного щенка 15377Почему астероид Дональджонсон удивляет геологов всей сложностью? 15376Почему забыть отравление едой невозможно? 15375Стальная гнездовая коробка на мосту: надежная защита для орланов и автомобилистов