Исследователи из Cybereason недавно обнаружили такую атаку, которая, по их мнению, была делом рук китайской APT Winnti. Cybereason проинформировал Федеральное бюро расследований США (ФБР) и Министерство юстиции (Минюст) о расследовании вредоносной кампании, которую они назвали "Операция CuckooBees".
Операция CuckooBees
В 2021 году группа реагирования на инциденты Cybereason Nocturnus была привлечена для расследования многочисленных вторжений, направленных на технологические и производственные компании в Северной Америке, Европе и Азии. Они обнаружили неуловимую и сложную кампанию кибершпионажа, действующую незамеченной как минимум с 2019 года.
По оценкам экспертов, за годы скрытного проведения разведки и выявления ценных данных группе удалось украсть сотни гигабайт информации. Целью злоумышленников была интеллектуальная собственность, разработанная жертвами, включая конфиденциальные документы, чертежи, диаграммы, формулы и производственные данные.
Кроме того, злоумышленники собирали информацию, которая могла быть использована для будущих кибератак, например, сведения о подразделениях компании-жертвы, сетевой архитектуре, учетных записях и учетных данных пользователей, электронной почте сотрудников и данных клиентов.
Исследователи Cybereason с умеренной или высокой степенью уверенности приписывают вторжения и операцию CuckooBees группе APT Winnti. Winnti, также известная как APT 41, BARIUM и Blackfly, - это китайская государственная APT-группа, известная своей скрытностью, изощренностью и нацеленностью на кражу технологических секретов.
Indicator of Compromise
SHA1
- bb93ae0fee817fe56c31bdc997f3f7d57a48c187
- 4d1b8791d0715fe316b43fc95bdc335cb31a82ca
- 2d336978af261e07b1ecfaf65dc903b239e287a4
- f2d04fe529e2d8dab96242305255cfb84ce81e9c
- f8d46895e738254238473d650d99bdc92c34ee44
- 9267fe0bb6d367fc9186e89ea65b13baa7418d87
- a009a0f5a385683aea74299cbe6d5429c609f2d2
- 1316f715d228ae6cc1fba913c6cc309861f82e14
- 1275894d8231fe25db56598ddcf869f88df5ad8d
- 9139c89b2b625e2ceee2cbf72aef6c5104707a26
- 082dbca2c3ca5c5410de9951a5c681f0c42235c8
File names
- mktzx64.dll
File Paths
- C:\Windows\temp\bc.bat
- C:\Windows\AppPatch\Custom\Custom64\cc.bat
- C:\Windows\temp\cc.log
- C:\Windows\AppPatch\Custom\Custom64\log.dat
- C:\Windows\Branding\Basebrd\x64.tlb
- C:\Windows\Branding\Basebrd\language.dll
- C:\Windows\System32\mscuplt.dll
- C:\Windows\System32\rpcutl.dll
- C:\Windows\System32\dot3utl.dll
- C:\Windows\System32\iumatl.dll
- C:\Windows\System32\Nlsutl.dll
- C:\Windows\System32\WindowsPowerShell\v1.0\dbghelp.dll
- C:\Windows\System32\drivers\bqDsp.sys
- C:\Windows\apppatch\en-us\MFSDLL.exe
- C:\Windows\System32\spool\drivers\x64\3\prntvpt.dll
- C:\Windows\System32\WindowsPowerShell\v1.0\wlbsctrl.dll
- C:\Windows\assembly\gac_msil\dfsvc\foserv.exe
- C:\Windows\assembly\temp\foserv.exe
- C:\Windows\apppatch\custom\custom64\shiver.exe
- C:\Windows\apppatch\custom\custom64\spark.exe
