Исследователи из команды «nao_sec», занимающейся изучением вопросов кибербезопасности, опубликовали отчет, в котором говорится о недавно обнаруженной группе перспективных постоянных угроз (APT) под названием «IcePeony», которая, по их мнению, связана с Китаем.
IcePeony APT
IcePeony действует по меньшей мере с 2023 года и атакует правительственные учреждения, академические институты и политические организации в таких странах, как Индия, Вьетнам, Маврикий и, возможно, Бразилия. В частности, nao_sec обнаружил более 200 попыток атаки на правительственные сайты в Индии. Группа обычно использует уязвимости в веб-серверах с помощью SQL-инъекций, после чего устанавливает веб-оболочки и бэкдоры, в том числе свою собственную вредоносную программу под названием «IceCache», которая нацелена на Internet Information Services (IIS).
Деятельность IcePeony была раскрыта благодаря ошибкам операционной безопасности, включая открытые каталоги, содержащие такие инструменты атаки, как CobaltStrike и sqlmap. Ключевой находкой стал файл «zsh_history», который позволил исследователям восстановить подробную хронологию атак группы. В течение двух недель IcePeony использовала различные инструменты, включая StaX (модифицированный прокси-инструмент), URLFinder и руткит Diamorphine, для взлома правительственных сайтов и кражи конфиденциальных данных.
По данным nao_sec, атаки группы совпадают с национальными интересами Китая и могут быть направлены на китайскую морскую стратегию. При разработке вредоносного ПО IcePeony широко используются инструменты с открытым исходным кодом в сочетании с IceCache и другим вредоносным ПО, получившим название IceEvent. По оценке Nao_sec, эти вредоносные программы имеют признаки создания одним и тем же разработчиком. Предполагается, что IcePeony действует по китайской системе «996 рабочих часов», работая по многу часов шесть дней в неделю.
В пользу атрибуции Китая говорит также наличие упрощенного китайского языка в их инструментах и их ориентация на страны, находящиеся в геополитической напряженности с Китаем, такие как Индия и Маврикий. По данным nao_sec, ожидается, что группа останется активной, и необходимо продолжать следить за ее деятельностью.
Indicators of Compromise
IPv4
- 103.150.186.219
- 103.99.60.108
- 103.99.60.119
- 103.99.60.93
- 107.148.37.63
- 149.115.231.17
- 149.115.231.39
- 154.213.17.225
- 154.213.17.237
- 154.213.17.244
- 165.22.211.62
- 173.208.156.144
- 173.208.156.19
- 204.12.205.10
- 45.195.205.88
- 63.141.255.16
- 64.227.133.248
Domains
- 88k8cc.com
- d45qomwkl.online
- googlesvn.com
- k8ccyn.com
- k9ccin.com
SHA256
- 0b8b10a2ff68cb2aa3451eedac4a8af4bd147ef9ddc6eb84fc5b01a65fca68fd
- 0eb60e4c5dc7b06b719e9dbd880eb5b7514272dc0d11e4760354f8bb44841f77
- 11e90e2458a97957064a3d3f508fa6dadae19f632b45ff9523b7def50ebacb63
- 3eb56218a80582a79f8f4959b8360ada1b5e471d723812423e9d68354b6e008c
- 484e274077ab6f9354bf71164a8edee4dc4672fcfbf05355958785824fe0468f
- 535586af127e85c5561199a9a1a3254d554a6cb97200ee139c5ce23e68a932bd
- 5b16d1533754c9e625340c4fc2c1f76b11f37eb801166ccfb96d2aa02875a811
- 5fd5e99fc503831b71f4072a335f662d1188d7bc8ca2340706344fb974c7fe46
- 80e831180237b819e14c36e4af70304bc66744d26726310e3c0dd95f1740ee58
- 9a0b0439e6fd2403f764acf0527f2365a4b9a98e9643cd5d03ccccf3825a732e
- 9aba997bbf2f38f68ad8cc3474ef68eedd0b99e8f7ce39045f1d770e2af24fea
- a66627cc13f827064b7fcea643ab31b34a7cea444d85acc4e146d9f2b2851cf6
- b8d030ed55bfb6bc4fdc9fe34349ef502561519a79166344194052f165d69681
- bc94da1a066cbb9bdee7a03145609d0f9202b426a52aca19cc8d145b4175603b
- ceb47274f4b6293df8904c917f423c2f07f1f31416b79f3b42b6d64e65dcfe1b
- d1955169cd8195ecedfb85a3234e4e6b191f596e493904ebca5f44e176f3f950
- de8f58f008ddaa60b5cf1b729ca03f276d2267e0a80b584f2f0723e0fac9f76c
- e5f520d95cbad6ac38eb6badbe0ad225f133e0e410af4e6df5a36b06813e451b