Китайская киберпреступная группировка Т428 с начала 2022 года несколько раз провела кибератаки на оборонные организации России, предприятия отрасли из государств Восточной Европы и Азии. С соответствующим заявлением выступили в пресс-службе компании «Лаборатория Касперского», уточнив, что основной целью таких кибератак является кибершпионаж, сообщает ТАСС.
В «Лаборатории Касперского» подчеркнули, что с начала этого года регистрируется множество целевых кибератак, которые проводятся против оборонных предприятий военных учреждений, государственных структур Афганистана, РФ и восточноевропейских стран.
В ходе исследования эксперты смогли обнаружить около 12 атакованных организаций. Предполагается, что основной целью злоумышленников является кибершпионаж. Специалисты уверены, что обнаруженная серия кибератак, вероятно, связана с профессиональной деятельностью китайской киберпреступной группировки Т428.
В некоторых случаях хакеры во время атак полностью захватывали ИТ-инфраструктуру атакованных организаций. Чаще всего они пользовались новейшими модификациями ранее известного вредоносного ПО, которое предназначено для скрытого дистанционного управления зараженной системой, а также техниками развития кибератак и обходами средств кибербезопасности.
Участники хакерской группировки Т428 пользовались фишинговыми письмами для обмана целевых жертв. В письмах содержалась закрытая внутренняя информация, которая не была доступна в общих источниках в Интернете на момент её эксплуатации киберпреступниками. В частности, во время фишинговых атак в присылаемых письмах хакеры могли использовать полные имена сотрудников, которые работали с конфиденциальными данными, а также внутренние кодовые названия проектов. Такой подход позволял завоевать доверие жертв.
В «Лаборатории Касперского» уточнили, что во вредоносных фишинговых письмах содержались документы MS Word вредоносным кодом, которые эксплуатировали ошибку CVE-2017-11882, позволяющую вредоносному ПО без каких-либо вспомогательных пользовательских действий получать управление над атакуемой системой.
При этом от пользователя не требовалось дополнительно включать выполнение макросов, как обычно это происходит при традиционных фишинговых атаках с вредоносом, содержащимся в электронных письмах.
Чтобы развить атаку, киберпреступники пользовались утилиту Ladon, имеющую функционал для сканирования сети, обнаружения и эксплуатации уязвимости, кражи учетных данных.
На завершающей стадии участники группы Т428 захватывали контроллер домена, что позволяло им полностью контролировать рабочие станции и серверы организаций. Затем киберпреступники начинали искать и загружать файлы, которые содержали конфиденциальную информацию, на свои серверы, развёрнутые в различных странах. Те же серверы применялись злоумышленниками для управления вредоносным программным обеспечением.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.