Злоумышленники, вероятно, базирующиеся в Китае, нацелились на высокопоставленные организации в Юго-Восточной Азии

security IOC

Исследователи из Symantec подробно описали кампанию шпионажа, действующую как минимум с октября 2023 года и, вероятно, проводимую злоумышленниками из Китая. Кампания была нацелена на организации в ряде отраслей, включая правительство, телекоммуникации и авиацию.

Описание

В своих атаках злоумышленники использовали сочетание инструментов с открытым исходным кодом (например, Dismap, Impacket и FastReverseProxy) и «живых» (например, PowerShell, Reg.exe и Windows Management Instrumentation). Многие из этих инструментов были ранее замечены в атаках, приписываемых китайским актерам, включая Rakshasa, инструмент, ранее использовавшийся Earth Baku, и SharpNBTScan, приложение .NET, ранее использовавшееся Mustang Panda (отслеживаемое Microsoft как Twill Typhoon).

Операции были направлены на утечку интересующих данных, включая учетные данные, из целевых организаций. Злоумышленники получали длительный доступ к целевым средам, что позволяло им составлять карты сети и выявлять интересующие системы. По данным Symantec, для утечки данных использовалась программа WinRAR, которая собирала и сжимала интересующие файлы в защищенные паролем архивы. Затем эти архивы загружались на облачные платформы хранения данных, такие как File.io, что позволяло злоумышленникам незаметно передавать данные.

Инструменты, используемые в этих атаках, применялись такими китайскими государственными группами, как Fireant (она же Mustang Panda, APT31, Stately Taurus), Earth Baku (она же APT41, Brass Typhoon), Budworm (она же APT27, Emissary Panda, Lucky Mouse) и другими. Однако из-за того, что многие из этих групп часто обмениваются инструментами и используют схожие TTP, конкретная атрибуция в данном случае невозможна.

Indicators of Compromise

IPv4

  • 198.244.237.131
  • 45.123.188.180

IPv4 Port Combinations

  • 118.107.219.66:443
  • 38.60.146.78:443

SHA256

  • 10029f14f2718362144b0e9b660994e8fb944af9ce9fcff04925f8b0615bb509
  • 33cb9f06338a9ea17107abbdc478071bbe097f80a835bbac462c4bb17cd0b798
  • 340e872c814d221989ca2cb93819b9ad307572851b5b3f8bfcf791ff08e0e677
  • 386eb7aa33c76ce671d6685f79512597f1fab28ea46c8ec7d89e58340081e2bd
  • 3e4d86c4e1d463b99478f960c9c00f7d11cd0d1fb8dd2948e8340b7bc3550904
  • 779b4a5f53d3128ab53dd8e13c362d6d077c3eb4987f878d7ef3416c801ef0dd
  • 80c3effc8f017b26c549bed8ba82097a6be7a59e383dd35adc917bf661e0a754
  • 89707a5bf9862a9effb1618a1a285a8d027fb343f6103f4bc68f736889f0a86e
  • 8b6d081be732743aa6f6bccfb68b3f21878aa36723c1311f50406d752aacc9fa
  • 9b1794a1c8c59631d95178c7c4e2f5917b84864b342b4cfdab8f0990c3dbf5d2
  • 9fe3ff51443c41fe0be01a55a3a5fbfb261bcf63b3b0cd67f65a2c00a6d52ff3
  • aa096f18e712ac0604e18d16441b672fcb393de9edf3ff4393519c48ab26a158
  • b7472c6f6cba47ec85fa147c78f3a7a40a4fc5913fe41654ab499a7b1bd4ea2e
  • ca0eeb4b71d4124dec785a9492970e9b1cfaa4cab0e8ca4486fc14b2e256d7f7
  • d312b0e1968beae5a2ff3be2d8efc6d1bfdab3b1aec6faf8eafa295c47230194
  • d7b85b92fb185272b89a7ff27424bff22a5a6542f6bde9838482aa9f87979828
  • e0f3b8028a2969e280efdd770978a54181fc242dd26cbf0a22e922f1e6a1b951
  • e6cecba25abd092bfccba825298edecd2fdee6c428d9ae85399fabc54355e31f
  • e9572549b2f35f32861ffc9be160e9c8f86e4d9d3dd43c3727f0df4dc2acc944
  • fa6de0d0bc9d83a3942aa8b3a12a5924dc662bec32cb3c2f212a0a0c0a4ebc7a
  • fb603072418da9150673ac9826a46a2b2462c8fc0afeacb2034ecb2b7d666001
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий