Китайские хакеры, спонсируемые государством, нацелены на старые уязвимости в маршрутизаторах Cisco в новых атаках, по-видимому, направленных на правительственные учреждения в США, Великобритании и Австралии, сообщает фирма по кибербезопасности SecurityScorecard. Источник: SecurityWeek
Читайте также: Филиппины вошли в топ стран, подвергающихся кибератакам: подозревают китайских хакеров
В рамках наблюдаемых атак злоумышленники использовали CVE-2019-1653 и CVE-2019-1652, две критические ошибки в снятых с производства VPN-маршрутизаторах Cisco для малого бизнеса RV320/325, которые ранее подвергались атакам китайских хакеров и также представлены в каталоге KEV CISA.
По данным SecurityScorecard, связанная с Китаем система расширенных постоянных угроз (APT) Volt Typhoon, вероятно, скомпрометировала одну треть уязвимых устройств, обнаруженных компанией.
В частности, за 37-дневный период 325 из 1116 устройств подключались к двум IP-адресам, используемым в качестве прокси-маршрутизаторов для связи командования и контроля (C&C), что позволяет предположить, что они могут быть частью одного и того же ботнета, связанного с Volt Typhoon.
Фактически, Volt Typhoon, как известно, нацелен на маршрутизаторы малых и домашних офисов (SOHO) от Cisco и DrayTek, а также другие периферийные устройства, включая межсетевые экраны Netgear и IP-камеры Axis, и использует их для скрытой передачи данных.
Используя индикаторы компрометации (IoC), представленные в недавнем отчете Black Lotus Labs о Volt Typhoon, SecurityScorecard смогла отследить изменения в использовании инфраструктуры в период с конца ноября 2023 года по начало января 2024 года, а также обнаружить новый файл оболочки, который заражал устройства.
В обширном техническом отчете компания по кибербезопасности сообщает, что ей удалось идентифицировать два других IP-адреса, связанных с ранее подробно описанной инфраструктурой C&C, связанной с Volt Typhoon, путем мониторинга трафика с IP-адреса, на котором, как известно, находится взломанный APT маршрутизатор Cisco RV325.
Учитывая, что это взломанное устройство находится в Новой Каледонии, фирма по кибербезопасности полагает, что оно служит транзитной точкой для трафика, связанного с Volt Typhoon.
Напомним, что искусственный интеллект помогает американским разведчикам обнаруживать киберактивность Китая.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet