Начиная с марта 2023 года, предположительно китайский злоумышленник атакует государственные структуры, оборонные, телекоммуникационные, образовательные и авиационные секторы в Юго-Восточной Азии и Южной Америке. Злоумышленник собирает конфиденциальную информацию от скомпрометированных организаций и получает данные о высокопоставленных чиновниках и лицах в этих организациях.
Описание
В ходе расследования были обнаружены тактики, техники и процедуры (TTP), используемые злоумышленником, включая поток атак, вектор проникновения через веб-оболочки и скрытые каналы связи. Было выявлено, что злоумышленник использовал сложный бэкдор, известный как Squidoor или FinalDraft, который нацелен на системы Windows и Linux. Кроме того, в статье раскрывается новый вариант Squidoor для Windows и предоставляется более глубокое понимание связи с командно-контрольным сервером (C2), чем ранее известно.
Squidoor является продвинутым бэкдором, который использует несколько протоколов, таких как Outlook API, туннелирование системы доменных имен (DNS) и туннелирование протокола управляющих сообщений Интернета (ICMP). Основываясь на анализе TTP, можно с уверенностью сказать, что эти действия происходят из Китая.
Цель анализа состоит в том, чтобы предоставить специалистам по кибербезопасности в секторах с повышенным риском эффективные стратегии для обнаружения и борьбы с этими современными угрозами. Клиенты Palo Alto Networks защищены от угроз, упомянутых в статье, благодаря использованию продуктов и услуг, таких как Cortex XDR и XSIAM, а также облачные службы безопасности для межсетевого экрана, Advanced WildFire, Расширенная фильтрация URL-адресов и Расширенное предотвращение угроз.
Дополнительно в статье рассматриваются подробности о первоначальном доступе к сетям через развертывание веб-оболочек и о латеральном перемещении внутри скомпрометированных конечных точек с использованием curl, Impacket и Windows Management Instrumentation (WMI). Также приводится описание Squidoor, как модульного скрытого бэкдора, который позволяет злоумышленникам поддерживать доступ, перемещаться сбоку и создавать скрытые каналы связи.
Indicators of Compromise
IPv4
- 104.244.72.123
- 209.141.40.254
- 47.76.224.93
Domains
- microsoftapimap.com
- microsoft-beta.com
- support.vmphere.com
- update.hobiter.com
- zimbra-beta.info
SHA256
- 1dd423ff0106b15fd100dbc24c3ae9f9860a1fcdb6a871a1e27576f6681a0850
- 224becf3f19a3f69ca692d83a6fabfd2d78bab10f4480ff6da9716328e8fc727
- 265ceb5184cac76477f5bc2a2bf74c39041c29b33a8eb8bd1ab22d92d6bebaf5
- 2b6080641239604c625d41857167fea14b6ce47f6d288dc7eb5e88ae848aa57f
- 33689ac745d204a2e5de76bc976c904622508beda9c79f9d64c460ebe934c192
- 3fcfc4cb94d133563b17efe03f013e645fa2f878576282805ff5e58b907d2381
- 461f5969b8f2196c630f0868c2ac717b11b1c51bc5b44b87f5aad19e001869cc
- 5dd361bcc9bd33af26ff28d321ad0f57457e15b4fab6f124f779a01df0ed02d0
- 6c1d918b33b1e6dab948064a59e61161e55fccee383e523223213aa2c20c609c
- 7c6d29cb1f3f3e956905016f0171c2450cca8f70546eee56cface7ba31d78970
- 8187240dafbc62f2affd70da94295035c4179c8e3831cb96bdd9bd322e22d029
- 81bd2a8d68509dd293a31ddd6d31262247a9bde362c98cf71f86ae702ba90db4
- 82e68dc50652ab6c7734ee913761d04b37429fca90b7be0711cd33391febff0a
- 83406905710e52f6af35b4b3c27549a12c28a628c492429d3a411fdb2d28cc8c
- 945313edd0703c966421211078911c4832a0d898f0774f049026fc8c9e7d1865
- 9f62c1d330dddad347a207a6a565ae07192377f622fa7d74af80705d800c6096
- a7d76e0f7eab56618f4671b5462f5c210f3ca813ff266f585bb6a58a85374156
- c8a5388e7ff682d3c16ab39e578e6c529f5e23a183cd5cbf094014e0225e2e0a
- e8d6fb67b3fd2a8aa608976bcb93601262d7a95d37f6bae7c0a45b02b3b325ad
- f45661ea4959a944ca2917454d1314546cc0c88537479e00550eef05bed5b1b9
- f663149d618be90e5596b28103d38e963c44a69a5de4a1be62547259ca9ffd2d
- fa2a6dbc83fe55df848dfcaaf3163f8aaefe0c9727b3ead1da6b9fa78b598f2b
