Chińscy cyberszpiedzy atakowali jednostki wojskowe


2021-06-16
Bitdefender ujawnił działania chińskiej grupy ATP znanej jako Naikon. Chińscy hakerzy inwigilowali agencje rządowe i organizacje wojskowe z Azji Południowo-Wschodniej.

Bitdefender ustalił, iż działania Naikon wymierzone przeciwko instytucjom w Filipinach, Malezji, Indonezji, Singapurze i Tajlandii, były prowadzone od czerwca 2019 do marca 2021 roku. Na początku operacji cyberszpiedzy wykorzystali malware Nebulae oraz Aria-body. Ten ostatni przekazywał napastnikom ustawienia systemu ofiary oraz tworzył wpisy w rejestrze.

 

- Dane, które do tej pory zgromadziliśmy, nie mówią nam zbyt wiele o roli Nebulae w tej operacji. Jednak wykryta obecność mechanizmu trwałego może oznaczać, że jest on używany jako zapasowy punkt dostępu do ofiary. ” - tłumaczy Victor Vrabie, badacz Bitdefender.

 

Napastnicy dodatkowo włączyli do swojego zestawu narzędzi backdoora RainyDay. Hakerzy z Naikon za jego pośrednictwem przeprowadzali rekonesans, uruchamiali odwrotny serwer proxy i skanery oraz wprowadzali narzędzia do zrzutu haseł. Wszystko po to, aby naruszyć sieci ofiar i wydobyć z nich cenne informacje.

 

Oprócz dodatkowych ładunków w zainfekowanych systemach, atakujący mogą również wysyłać polecenia RainyDay przez TCP lub HTTP w celu manipulowania usługami, uzyskiwania dostępu do powłoki poleceń, odinstalowywania złośliwego oprogramowania, wykonywania i zbierania zrzutów ekranu oraz manipulowania, pobierania lub wysyłania plików. W czasie ataków przeprowadzonych pomiędzy czerwcem 2019 a marcem 2021 roku Naikon pozostawiał złośliwe ładunki wykorzystując luki w bibliotekach DLL, które występowały w następujących systemach:

 

- Sandboxie COM Services (BITS) (SANDBOXIE)

- Outlook Item Finder (Microsoft)

- VirusScan On-Demand Scan Task Properties (McAfee.)

- Mobile Popup Application (Quick Heal Technologies )

- ARO 2012 Tutorial

 

Bitdefender jest pewny, że operacje przeprowadził Naikon. Świadczą o tym serwery zarządzające i kontrolujące oraz oprogramowanie Aria-Body wcześniej używane przez tę grupę hakerów. Wiele też wskazuje na to, że Naikon jest sponsorowany przez chiński rząd, a działalność cyberszpiegów obejmuje ataki na instytucje rządowe oraz organizacje militarne.

 

Źródło:marken.com.pl;bitdefender.pl  

Nadesłał:

Marken

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl