Исследователи из Symantec подробно описали кампанию шпионажа, действующую как минимум с октября 2023 года и, вероятно, проводимую злоумышленниками из Китая. Кампания была нацелена на организации в ряде отраслей, включая правительство, телекоммуникации и авиацию.
Описание
В своих атаках злоумышленники использовали сочетание инструментов с открытым исходным кодом (например, Dismap, Impacket и FastReverseProxy) и «живых» (например, PowerShell, Reg.exe и Windows Management Instrumentation). Многие из этих инструментов были ранее замечены в атаках, приписываемых китайским актерам, включая Rakshasa, инструмент, ранее использовавшийся Earth Baku, и SharpNBTScan, приложение .NET, ранее использовавшееся Mustang Panda (отслеживаемое Microsoft как Twill Typhoon).
Операции были направлены на утечку интересующих данных, включая учетные данные, из целевых организаций. Злоумышленники получали длительный доступ к целевым средам, что позволяло им составлять карты сети и выявлять интересующие системы. По данным Symantec, для утечки данных использовалась программа WinRAR, которая собирала и сжимала интересующие файлы в защищенные паролем архивы. Затем эти архивы загружались на облачные платформы хранения данных, такие как File.io, что позволяло злоумышленникам незаметно передавать данные.
Инструменты, используемые в этих атаках, применялись такими китайскими государственными группами, как Fireant (она же Mustang Panda, APT31, Stately Taurus), Earth Baku (она же APT41, Brass Typhoon), Budworm (она же APT27, Emissary Panda, Lucky Mouse) и другими. Однако из-за того, что многие из этих групп часто обмениваются инструментами и используют схожие TTP, конкретная атрибуция в данном случае невозможна.
Indicators of Compromise
IPv4
- 198.244.237.131
- 45.123.188.180
IPv4 Port Combinations
- 118.107.219.66:443
- 38.60.146.78:443
SHA256
- 10029f14f2718362144b0e9b660994e8fb944af9ce9fcff04925f8b0615bb509
- 33cb9f06338a9ea17107abbdc478071bbe097f80a835bbac462c4bb17cd0b798
- 340e872c814d221989ca2cb93819b9ad307572851b5b3f8bfcf791ff08e0e677
- 386eb7aa33c76ce671d6685f79512597f1fab28ea46c8ec7d89e58340081e2bd
- 3e4d86c4e1d463b99478f960c9c00f7d11cd0d1fb8dd2948e8340b7bc3550904
- 779b4a5f53d3128ab53dd8e13c362d6d077c3eb4987f878d7ef3416c801ef0dd
- 80c3effc8f017b26c549bed8ba82097a6be7a59e383dd35adc917bf661e0a754
- 89707a5bf9862a9effb1618a1a285a8d027fb343f6103f4bc68f736889f0a86e
- 8b6d081be732743aa6f6bccfb68b3f21878aa36723c1311f50406d752aacc9fa
- 9b1794a1c8c59631d95178c7c4e2f5917b84864b342b4cfdab8f0990c3dbf5d2
- 9fe3ff51443c41fe0be01a55a3a5fbfb261bcf63b3b0cd67f65a2c00a6d52ff3
- aa096f18e712ac0604e18d16441b672fcb393de9edf3ff4393519c48ab26a158
- b7472c6f6cba47ec85fa147c78f3a7a40a4fc5913fe41654ab499a7b1bd4ea2e
- ca0eeb4b71d4124dec785a9492970e9b1cfaa4cab0e8ca4486fc14b2e256d7f7
- d312b0e1968beae5a2ff3be2d8efc6d1bfdab3b1aec6faf8eafa295c47230194
- d7b85b92fb185272b89a7ff27424bff22a5a6542f6bde9838482aa9f87979828
- e0f3b8028a2969e280efdd770978a54181fc242dd26cbf0a22e922f1e6a1b951
- e6cecba25abd092bfccba825298edecd2fdee6c428d9ae85399fabc54355e31f
- e9572549b2f35f32861ffc9be160e9c8f86e4d9d3dd43c3727f0df4dc2acc944
- fa6de0d0bc9d83a3942aa8b3a12a5924dc662bec32cb3c2f212a0a0c0a4ebc7a
- fb603072418da9150673ac9826a46a2b2462c8fc0afeacb2034ecb2b7d666001