Группировка Winnti, связанная с Китаем, запустила новую кибершпионскую кампанию под названием RevivalStone, нацеленную на японские компании в сферах производства, материалов и энергетики, сообщила японская компания по кибербезопасности LAC. Источник: Thehackernews
Атаки начались в марте 2024 года и были связаны с деятельностью хакерских групп Earth Freybug, APT41 и Operation CuckooBees.
Исследователи отмечают, что APT41 использует сложные методы шпионажа, включая заражение цепочек поставок. Группировка разрабатывает атаки с высокой степенью скрытности, обходя системы безопасности и устанавливая каналы для постоянного удаленного доступа. Вредоносное ПО Winnti, применяемое в атаке, использует руткиты для сокрытия вредоносной активности и подделки цифровых сертификатов.
Согласно отчету LAC, хакеры использовали уязвимости в программном обеспечении, включая IBM Lotus Domino, для развертывания нескольких типов вредоносного ПО, кторое позволяет злоумышленникам выполнять команды, управлять файлами и процессами, а также устанавливать скрытые соединения с зараженными системами.
Последние атаки включали взлом системы планирования ресурсов предприятия (ERP) через SQL-инъекцию. Хакеры использовали веб-шеллы China Chopper и Behinder для разведки и сбора учетных данных. Затем они атаковали поставщика управляемых услуг (MSP), распространив вредоносное ПО на три другие организации.
Напомним, китайские хакеры осуществили более 200 кибератак на правительство и компании Японии.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet