Связанные с Китаем кибершпионы вели продолжительную кампанию против нескольких операторов связи в одной азиатской стране с 2021 года. Источник: The hacker news
В отчете команды Symantec Threat Hunter Team, входящей в состав Broadcom, говорится, что злоумышленники установили бэкдоры в сетях целевых компаний и пытались украсть учетные данные.
Компания по кибербезопасности не назвала страну, подвергшуюся атаке, но заявила, что обнаружила признаки вредоносной активности, начавшейся еще в 2020 году.
Целями атак также стали неназванная сервисная компания, обслуживающая телекоммуникационный сектор, и университет в другой азиатской стране.
Выбор инструментов, использованных в этой кампании, совпадает с теми, что применялись китайскими шпионскими группами, такими как Mustang Panda (также известные как Earth Preta и Fireant), RedFoxtrot (также известные как Needleminer и Nomad Panda) и Naikon (также известные как Firefly).
Среди используемых инструментов были пользовательские бэкдоры, известные как COOLCLIENT, QuickHeal и RainyDay, которые способны собирать конфиденциальные данные и связываться с сервером управления и контроля (C2).
Хотя точный первоначальный метод доступа к целям остается неизвестным, кампания также примечательна использованием инструментов для сканирования портов и кражи учетных данных путем сброса кустов реестра Windows.
Факт использования одного инструмента тремя разными враждебными коллективами открывает несколько возможностей: атаки могли проводиться независимо, один злоумышленник мог использовать инструменты, полученные от других групп, или различные участники могли сотрудничать в рамках одной кампании.
Основной мотив этих вторжений пока неясен, хотя китайские злоумышленники давно нацелены на телекоммуникационный сектор по всему миру.
В ноябре 2023 года «Касперский» выявил кампанию вредоносного ПО ShadowPad, нацеленную на одну из национальных телекоммуникационных компаний Пакистана, используя известные уязвимости в Microsoft Exchange Server (CVE-2021-26855, также известную как ProxyLogon).
Symantec предположила, что злоумышленники могли собирать разведданные о телекоммуникационном секторе этой страны или заниматься подслушиванием. Также они могли пытаться создать разрушительный потенциал для критически важной инфраструктуры этой страны.
Напомним, китайский кибершпионаж оказался масштабнее, чем предполагалось, заявила разведка Нидерландов.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet