Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Кибератаки CL-STA-0048: угроза для Южной Азии

1
2 мин
В недавнем отчете исследуется кампания кибератак, известная как CL-STA-0048, нацеленная на крупные предприятия, особенно в телекоммуникационной области Южной Азии. Злоумышленники используют продвинутые тактики, что подтверждает необходимость усиления мер кибербезопасности в этом регионе. Киберпреступники продемонстрировали ряд сложных методов для осуществления своих атак, включая: Анализ показывает, что злоумышленники, вероятно, имеют китайское происхождение. Первые попытки были направлены на использование серверов IIS, но после их неудачи хакеры переключились на сервер Apache, где развернули веб-оболочку ColdFusion. В ходе атак злоумышленники использовали ряд эффективных инструментов: Исследователи выявили, что Cobalt Strike был использован для выполнения дополнительных вредоносных действий, включая установку маяка winlogon.exe для связи с сервером C2. Проведенный анализ временных рамок интерактивных сеансов злоумышленника показал соответствие типичным рабочим часам в часовом поясе UT
Оглавление
Источник: unit42.paloaltonetworks.com
Источник: unit42.paloaltonetworks.com

В недавнем отчете исследуется кампания кибератак, известная как CL-STA-0048, нацеленная на крупные предприятия, особенно в телекоммуникационной области Южной Азии. Злоумышленники используют продвинутые тактики, что подтверждает необходимость усиления мер кибербезопасности в этом регионе.

Анализ атакующих тактик

Киберпреступники продемонстрировали ряд сложных методов для осуществления своих атак, включая:

  • Шестнадцатеричная обработка данных для доставки полезной нагрузки;
  • Эксфильтрация данных по DNS, используя ping;
  • Злоупотребление SQLcmd для кражи данных.

Анализ показывает, что злоумышленники, вероятно, имеют китайское происхождение. Первые попытки были направлены на использование серверов IIS, но после их неудачи хакеры переключились на сервер Apache, где развернули веб-оболочку ColdFusion.

Используемые инструменты и методы

В ходе атак злоумышленники использовали ряд эффективных инструментов:

  • PlugX RAT, загруженный с использованием certutil и уязвимых законных двоичных файлов;
  • Доставка файлов с помощью технологии Hex Staging;
  • Инструмент SspiUacBypass для обхода контроля учетных записей.

Исследователи выявили, что Cobalt Strike был использован для выполнения дополнительных вредоносных действий, включая установку маяка winlogon.exe для связи с сервером C2.

Идентификация источника атак

Проведенный анализ временных рамок интерактивных сеансов злоумышленника показал соответствие типичным рабочим часам в часовом поясе UTC+8, что указывает на возможную азитаскую принадлежность атакующих. Доказательства связанные с активностью хакера представляют собой следующие аспекты:

  • Использование протокола KCP, традиционно связанного с китайскими хакерами;
  • Загрузки с IP-адресов, привязанных к платформам, адаптированным для китайского языка.

Рекомендации по кибербезопасности

Кампания CL-STA-0048 подчеркивает серьезную угрозу шпионажа для правительственных и телекоммуникационных секторов Южной Азии. Организациям рекомендуется:

  • Приоритизировать меры кибербезопасности;
  • Устранить уязвимости;
  • Поддерживать ИТ-гигиену;
  • Использовать надежный мониторинг угроз.

Эти шаги помогут защитить от сложных угроз, подобных CL-STA-0048.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Кибератаки CL-STA-0048: угроза для Южной Азии".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.