Китайские киберпреступники осваивают новые тактики, сосредоточившись на взломе систем сотрудников IT-инфраструктуры, осуществлении фишинговых кампаний, а также сборе цифровых сертификатов для последующей подготовки атак на цепочку поставок взломанных компаний. Об этом сообщила команда исследователей кибербезопасности 401TRG из компании ProtectWise.
Эксперты проанализировали тактику, методы и процедуры, используемые на протяжении многих лет хакерской группировкой Winnti, также известной под названиями Axiom и APT 17.
Как заявили исследователи, множество подозреваемых в кибершпионаже в пользу китайских разведслужб хакерских группировок, таких как BARIUM, Wicked Panda, GREF и PassCV, со временем начали использовать методы и инфраструктуру Winnti. На основе этих наблюдений исследователи объединили их под общим названием Winnti Umbrella.
«Тактика, инфраструктура и инструменты совпадают с другими китайскоязычными группами хакеров, позволяя предположить, что китайская разведка разделяет человеческие и технологические ресурсы между группировками», - заявили эксперты.
В настоящее время часть группировок из Winnti Umbrella действует по одной и той же схемой. В первую очередь, злоумышленники предпочитают осуществлять фишинговые атаки на отдельные цели для хищения учетных данных, которые позволяют злоумышленникам проникнуть в систему с помощью чужой учетной записи, а не вредоносного ПО. Затем атакующие используют технику под названием «living off the land», представляющую собой использование локальных приложений во вредоносных целях. Использующиеся в данных атаках инструменты включают стандартные утилиты Windows, а также программы для тестирования на проникновение, такие как Metasploit и Cobalt Strike. При этом вредоносные программы используются только в случае реальной необходимости, поскольку злоумышленники опасаются обнаружения.
В 2018 году тактика претерпела небольшие изменения и атакующие сосредоточили свои усилия прежде всего на взломе учетных записей Gmail и Office 365.
«В ходе атак злоумышленники часто похищают цифровые сертификаты, исходный код и внутреннюю технологическую документацию. Они также могут попытаться манипулировать виртуальной экономикой для получения финансовой выгоды. Предположительно, деньги являются вторичной целью и могут быть связаны с личными интересами лиц, стоящих за атаками», - добавили исследователи.
Хищение сертификатов может говорить о том, что Winnti Umbrella собирают ресурсы и планируют атаки на цепочки поставок для заражения официального программного обеспечения вредоносным ПО.