Informacje

Zdjęcie ilustracyjne / autor: Pexels.com
Zdjęcie ilustracyjne / autor: Pexels.com

Chińscy cyberszpiedzy atakowali jednostki wojskowe

Zespół wGospodarce

Zespół wGospodarce

Portal informacji i opinii o stanie gospodarki

  • Opublikowano: 30 kwietnia 2021, 19:00

  • 0
  • Powiększ tekst

Bitdefender ujawnił działania chińskiej grupy ATP znanej jako Naikon. Chińscy hakerzy inwigilowali agencje rządowe i organizacje wojskowe z Azji Południowo-Wschodniej

Bitdefender ustalił, iż działania Naikon wymierzone przeciwko instytucjom w Filipinach, Malezji, Indonezji, Singapurze i Tajlandii, były prowadzone od czerwca 2019 do marca 2021 roku. Na początku operacji cyberszpiedzy wykorzystali malware Nebulae oraz Aria-body. Ten ostatni przekazywał napastnikom ustawienia systemu ofiary oraz tworzył wpisy w rejestrze.

Dane, które do tej pory zgromadziliśmy, nie mówią nam zbyt wiele o roli Nebulae w tej operacji. Jednak wykryta obecność mechanizmu trwałego może oznaczać, że jest on używany jako zapasowy punkt dostępu do ofiary - tłumaczy Victor Vrabie, badacz Bitdefender.

Napastnicy dodatkowo włączyli do swojego zestawu narzędzi backdoora RainyDay. Hakerzy z Naikon za jego pośrednictwem przeprowadzali rekonesans, uruchamiali odwrotny serwer proxy i skanery oraz wprowadzali narzędzia do zrzutu haseł. Wszystko po to, aby naruszyć sieci ofiar i wydobyć z nich cenne informacje.

Oprócz dodatkowych ładunków w zainfekowanych systemach, atakujący mogą również wysyłać polecenia RainyDay przez TCP lub HTTP w celu manipulowania usługami, uzyskiwania dostępu do powłoki poleceń, odinstalowywania złośliwego oprogramowania, wykonywania i zbierania zrzutów ekranu oraz manipulowania, pobierania lub wysyłania plików. W czasie ataków przeprowadzonych pomiędzy czerwcem 2019 a marcem 2021 roku Naikon pozostawiał złośliwe ładunki wykorzystując luki w bibliotekach DLL, które występowały w następujących systemach:

  • Sandboxie COM Services (BITS) (SANDBOXIE)
  • Outlook Item Finder (Microsoft)
  • VirusScan On-Demand Scan Task Properties (McAfee.)
  • Mobile Popup Application (Quick Heal Technologies )
  • ARO 2012 Tutorial

Bitdefender jest pewny, że operacje przeprowadził Naikon. Świadczą o tym serwery zarządzające i kontrolujące oraz oprogramowanie Aria-Body wcześniej używane przez tę grupę hakerów. Wiele też wskazuje na to, że Naikon jest sponsorowany przez chiński rząd, a działalność cyberszpiegów obejmuje ataki na instytucje rządowe oraz organizacje militarne.

Czytaj też: Ofiary ataków ransomware płacą coraz wyższe okupy

Mat.Pras./KG

Powiązane tematy

Komentarze