В мае 2024 года сайты, связанные с тибетским сообществом, были взломаны предполагаемой китайской государственной группой угроз под названием TAG-112, что привело к тайному развертыванию Cobalt Strike, распространенного инструмента тестирования на проникновение, используемого не по назначению для кибершпионажа.
TAG-112 APT
Согласно исследованию группы Insikt компании Recorded Future, веб-сайты, включая Tibet Post и Gyudmed Tantric University, были изменены таким образом, чтобы показывать фальшивые предупреждения о безопасности, обманом заставляя пользователей загружать вредоносные файлы. Злоумышленники использовали уязвимости в Joomla, системе управления контентом сайтов, чтобы вставить вредоносный JavaScript. Этот код определял операционную систему и браузер посетителя, подталкивал к загрузке файл, замаскированный под «сертификат безопасности» для пользователей Windows, и в итоге загружал Cobalt Strike.
Чтобы скрыть происхождение своих операций, TAG-112 использовал защитные сервисы Cloudflare. Анализ Insikt Group связал несколько образцов полезной нагрузки Cobalt Strike Beacon с TAG-112, а их инфраструктура также указывает на присутствие на серверах в Южной Корее. Recorded Future отмечает, что TAG-112, похоже, имеет общие связи с TAG-102, также известной как Evasive Panda, - еще одной связанной с Китаем группой угроз с похожими целями и методами атак. Однако тактика TAG-112 менее изощренная, что позволяет предположить, что она может быть отдельной подгруппой в рамках более крупной TAG-102.
По мнению Insikt Group, эта кампания подчеркивает давние цели китайской разведки по мониторингу и подавлению тибетских организаций и других групп меньшинств, воспринимаемых как угроза власти китайской коммунистической партии. Исследователи предполагают, что TAG-112, наряду с другими китайскими группами угроз, продолжит атаковать правозащитные и связанные с независимостью организации.
Indicators of Compromise
IPv4
- 154.205.138.202
- 154.90.62.12
- 154.90.63.166
Domains
- checkupdate.maskrisks.com
- gyudmedtantricuniversity.org
- mail.maskrisks.com
- maskrisks.com
- tibetpost.net
- update.maskrisks.com
URLs
- http://154.205.138.202/GetUrl/cache
- http://mail.maskrisks.com/api/view.php
- https://checkupdate.maskrisks.com/cache
- https://gyudmedtantricuniversity.org/templates/lt_interiordesign/js/custom.js
- https://tibetpost.net/templates/ja_teline_v/js/gallery/jquery.blueimp-gallery.full.js
- https://update.maskrisks.com/?type=Chrome
- https://update.maskrisks.com/?type=Edge
- https://update.maskrisks.com/cache
- https://update.maskrisks.com/download
SHA256
- 0e306c0836a8ee035ae739c5adfbe42bd5021e615ebaa92f52d5d86fb895651d
- 1e42cbe23055e921eff46e5e6921ff1a20bb903fca83ea1f1294394c0df3f4cd
- 1e7cb19f77206317c8828f9c3cdee76f2f0ebf7451a625641f7d22bb8c61b21b
- 31f11b4d81f3ae25b6a01cd1038914f31d045bc4136c40a6221944ea553d6414
- 8d4049ef70c83a6ead26736c1330e2783bdc9708c497183317fad66b818e44cb
- 94569f64f62eff185ba47e991dba54bdeea6d1a9e205d6bec767be6a864e4efb
- 966d311dcc598922e4ab9ce5524110a8bfd2c6b6db540d180829ceb7a7253831
- E190c7e097a1c38dd45d9c149e737ad9253b1cabee1cee7ef080ddf52d1b378c
- f1f11e52a60e5a446f1eb17bb718358def4825342acc0a41d09a051359a1eb3d
- f4ded3a67480a0e2a822af1e87a727243dea16ac1a3c0513aec62bff71f06b27
