Ssylka

Незаметное проникновение

Крупнейшая телекоммуникационная компания Азии подверглась атаке, которая оставалась незамеченной более четырех лет, сообщает фирма реагирования на инциденты Sygnia.
Незаметное проникновение
Изображение носит иллюстративный характер

Атака была проведена группой «Weaver Ant» — коллективом, ассоциированным с китайским государственным кибершпионажем, целью которого являлось получение и сохранение непрерывного доступа к системам телекоммуникационного провайдера для сбора конфиденциальной информации.

Хакеры воспользовались уязвимостью публично доступного веб-приложения, установив два различных веб-оболочки. Одна из них представляла зашифрованную версию инструмента China Chopper, а другая — ранее неизвестный вредоносный инструмент под названием INMemory.

Программа INMemory способна декодировать строки в формате Base64 и выполнять C код, внедренный в портативный исполняемый файл eval.dll, посредством HTTP-запроса, при этом вся операция происходит исключительно в оперативной памяти, что не оставляет следов на диске.

Для обеспечения дальнейшего продвижения по сети злоумышленники использовали рекурсивный HTTP-туннель через SMB, а также патчили Event Tracing for Windows (ETW) и Antimalware Scan Interface (AMSI), что позволяло обходить стандартные средства обнаружения.

Активность, проводимая в рабочие часы, организация ORB-сети с использованием маршрутизаторов Zyxel и внедрение Outlook-бэкдора, ранее приписываемого группе Emissary Panda, являются дополнительными признаками наличия прямой связи с китайскими структурами.

Одновременно с этим министерство государственной безопасности Китая обвинило четырех тайваньских хакеров, предполагаемо связанных с командованием информационных, коммуникационных и электронных сил (ICEFCOM), в кибератаках против материкового Китая.

Обвиняемые использовали такие инструменты, как AntSword, IceScorpion, М⃰sploit и Quasar RAT, применяя технику spear-phishing для внедрения C++-троянов и разворачивания инфраструктуры командного и управляющего центра на базе Cobalt Strike и Sliver, а также эксплуатировали уязвимости и слабые пароли в устройствах интернета вещей, что подтверждают отчеты QiAnXin и Antiy.


Новое на сайте

15803Эволюция диагностики аутизма: рост выявляемости, а не распространенности 15802Как новый алгоритм BOSSA может решить "проблему коктейльной вечеринки" для... 15801Как Peloton изменил домашние тренировки и почему его велотренажеры считаются лучшими? 15800Историческое событие для фанатов: "доктор кто" впервые высадится в Лагосе 15799Где наблюдать за весенней миграцией птиц в Йоркшире и Линкольншире? 15798Сергей Эгельман | Семинар премии Норма Харди 2024 15797Как Google заплатит Техасу $1,4 млрд за сбор данных без разрешения? 15796Как найти любой файл на вашем смартфоне? 15795За кулисами производства наушников дороже элитного автомобиля 15794Воссоздание парфенона 432 года до н.э.: цифровое путешествие в античность 15793Какой электрический велосипед выбрать для ежедневных поездок на работу в 2025 году? 15792Как домашний тест на рак шейки матки может изменить женское здравоохранение? 15790Сколько лет древним деревянным копьям из Шёнингена: новый взгляд на находку? 15789Языковая революция: шимпанзе используют сложные языковые конструкции подобно людям