С конца июня по середину июля 2024 года злоумышленники, связанные с Китаем, атаковали крупных поставщиков ИТ-услуг в Южной Европе в рамках кампании, получившей название Operation Digital Eye. По данным SentinelLabs, эта кибершпионская операция была направлена на проникновение в ценные объекты, управляющие критическими данными, инфраструктурой и решениями по кибербезопасности для различных отраслей промышленности, с целью компрометации нижестоящих организаций.
Digital Eye Operation
Основные методы, использованные злоумышленниками, включают SQL-инъекции для получения первоначального доступа, веб-оболочки на базе PHP для сохранения доступа и кражу учетных данных с помощью модифицированных инструментов Mimikatz. Эти пользовательские инструменты, получившие общее название mimCN, были связаны с другими китайскими кампаниями, такими как Operation Tainted Love и Operation Soft Cell. Латеральное перемещение опиралось на протокол удаленных рабочих столов (RDP) и злоупотребление удаленными туннелями Visual Studio Code от Microsoft.
Туннели Visual Studio Code обеспечивали полный доступ к конечным точкам, замаскированный под легитимную деятельность, используя доверенные исполняемые файлы с подписью Microsoft и инфраструктуру Azure. Такой подход позволял злоумышленникам встраивать вредоносную деятельность в обычные рабочие процессы ИТ, избегая обнаружения. Кроме того, злоумышленники использовали инфраструктуру, расположенную в Европе, что, вероятно, еще больше снижало подозрения.
SentinelLabs не может приписать операцию «Digital Eye» конкретному злоумышленнику; однако компания считает, что кампания была проведена связанным с Китаем злоумышленником, поскольку вредоносное ПО, инфраструктура и методы совпадают, а также набор целей и время проведения операций.
Indicators of Compromise
IPv4
- 146.70.161.78
- 185.76.78.117
- 20.103.221.187
- 4.232.170.137
SHA1
- 0be9dd709d7d68887a92c793881dd4a010796e95
- 213f06ed5ac9e688816b4bbe73bf507994949964
- 289f3bfe297923507cf4c26ca500ae01819c6a95
- 2e2cf8a4a0e7decceb8e22536b13173479da0d13
- 3035d8846d7a9f309f2d24daba6ac33ad99524fc
- 399776991a094e1ee78b2a915bf4491e67c04ec7
- 3a688c844259822c51ceb3aea508303c4a654eb3
- 4d6947a19dd9a420c22fee39fac8b4df95a47569
- 63cea28d927f8e629377399fa08a9cb4fd0c6238
- 6549e50645bb1c02e4972651d335a75cb6d5aa74
- 7941909fd5c1277c6f7baf21e484c9e59ea454ee
- 7cb7bcb9187f8faf47fd77cf1213ab3fe2350a77
- 82b1cb9b69d5f05bb20852322fb3c2c00bce9134
- 83ca53c95705352ff60149b0b17a686956e23172
- a9d6d0c47728094feb794ad7e25c253737633140
- b2811cb4d0afe13d2722093039a72588c348dcfd
- c0e03fce8f7f51e91da79f773aa870f0897b0ee2
- cb6726fb3f7952ede04ed22d2c72389255991827
- d57fa43944676c56e66f4b20ffa3d82048e354fd
- e572380ab95c4ab5a87f701d4654d3386911b387
- e8a8d8fa7122c1592a314343b45bac2c213bb57d