Американская организация в Китае подверглась атаке злоумышленников

security IOC

Исследователи компании Symantec обнаружили четырехмесячное вторжение, направленное на крупную американскую организацию, имеющую значительное представительство в Китае, которое, вероятно, было совершено злоумышленником, связанным с Китаем.

Описание

Атака, продолжавшаяся с апреля по август 2024 года, включала в себя боковое перемещение по сети и взлом нескольких компьютеров, включая серверы Exchange, что указывало на намерение собирать электронную почту для сбора разведданных. Злоумышленники использовали инструменты эксфильтрации, предполагая, что данные были украдены из организации. Злоумышленники использовали технику боковой загрузки DLL, используя легитимные приложения, такие как GoogleToolbarNotifier.exe и iTunesHelper.exe, для загрузки вредоносного ПО. Они также использовали Impacket для манипуляций с сетевыми протоколами, FileZilla для передачи данных по FTP и PSCP для безопасного копирования файлов. Применялась тактика «жизни на земле», включая использование WMI, PsExec и PowerShell для выполнения команд, перемещения вбок и разведки.

Первоначальный вектор заражения неизвестен, но первые признаки вредоносной активности были обнаружены 11 апреля 2024 года с использованием WMI для выполнения подозрительных команд. Злоумышленники выполняли сброс учетных данных, Kerberoasting для кражи учетных данных учетных записей служб, а также использовали PowerShell для загрузки файлов и запросов к Active Directory. Они также нацеливались на определенные доменные группы, например «Серверы Exchange», и использовали PsExec для выполнения команд на удаленных системах.

Улики указывают на связь с связанными с Китаем группировками Daggerfly и Crimson Palace, известными своими атаками на организации в Юго-Восточной Азии. По мнению Symantec, использование злоумышленниками известных инструментов и тактик, таких как боковая загрузка DLL и методы «жизни на земле», соответствует методам, используемым китайскими злоумышленниками.

Indicators of Compromise

SHA256

  • 1f6b69d11a3066e21c40002a25986c44e24a66f023a40e5f49eecaea33f5576d
  • 23221b6f95b9e3b165a84570212f2c8681cf888aa0fa78822f8500357eeafaf0
  • 472a513eb60cba4a2320ebbc10d84679ebaa1a8f90e5a3764902a456b3936a17
  • 86fd8328765e4803feedf5878a08c149c08d47c336578261a08a3e1933b68daa
  • c1bec59afd3c6071b461bb480ff88ba7e36759a949f4850cc26f0c18e4c811a0
  • d32cc7b31a6f98c60abc313abc7d1143681f72de2bb2604711a0ba20710caaae
  • edfae1a69522f87b12c6dac3225d930e4848832e3c551ee1e7d31736bf4525ef
  • f2fa6ae29306ed7171f2e9563ced9bbd6e337ed8c389b319df3c6b46eeb050f0
  • ff91bbe7bd4e6d5498b1332f0ad233dcf0ad5fc0d31f870a92142731354d739c
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий