Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Шпионские операции CNC: угроза для науки и технологий

16
2 мин
Хакерская группировка CNC, имеющая связи в Южной Азии, активно реализует целенаправленные шпионские операции, фокусируясь на академических и научно-исследовательских учреждениях. В рамках своей операции, известной как «Морской слон», они стремятся установить господство в Индийском океане, проводя слежку за научными достижениями в области океанологии. Группа, ранее известная под названием Patchwork, разработала модульные и настраиваемые вредоносные программы, что позволяет им добиваться более высокой эффективности в получении несанкционированного доступа по сравнению с другими группами APT в регионе. Основной метод их проникновения включает: Инфраструктура вредоносного ПО CNC позволяет злоумышленникам: Одним из троянцев, использующихся группировкой, является windowsfilters.exe, который устанавливает удаленный контроль над заражёнными компьютерами, изначально собирая информацию об устройстве. Он применяет многоэтапную стратегию исполнения с целью избежать обнаружения и извлекать дополнит
Оглавление

Хакерская группировка CNC, имеющая связи в Южной Азии, активно реализует целенаправленные шпионские операции, фокусируясь на академических и научно-исследовательских учреждениях. В рамках своей операции, известной как «Морской слон», они стремятся установить господство в Индийском океане, проводя слежку за научными достижениями в области океанологии.

Методы проникновения и заражения

Группа, ранее известная под названием Patchwork, разработала модульные и настраиваемые вредоносные программы, что позволяет им добиваться более высокой эффективности в получении несанкционированного доступа по сравнению с другими группами APT в регионе. Основной метод их проникновения включает:

  • Рассылку фишинговых электронных писем целевым исследователям или учебным заведениям;
  • Использование приложений для обмена сообщениями, таких как WeChat и QQ, для доставки вредоносной информации;
  • Развертывание важного бэкдора, названного qaxreporter.exe, который обеспечивает постоянный контроль над скомпрометированными компьютерами.

Инфраструктура вредоносного ПО

Инфраструктура вредоносного ПО CNC позволяет злоумышленникам:

  • Загружать выходные данные команд на сервер управления (C2), используя различные методы обфускации;
  • Скрытно загружать файлы, например, tericerit.exe, который использует протокол SFTP для утечки данных;
  • Собирать информацию о локальной системе перед выполнением дальнейших вредоносных программ, включая MScleanup64.exe, предназначенный для кражи ценных файлов.

Стратегия и целевая ориентация

Одним из троянцев, использующихся группировкой, является windowsfilters.exe, который устанавливает удаленный контроль над заражёнными компьютерами, изначально собирая информацию об устройстве. Он применяет многоэтапную стратегию исполнения с целью избежать обнаружения и извлекать дополнительные вредоносные компоненты из C2.

Операционная деятельность CNC всё больше фокусируется на:

  • Лазерной науке;
  • Аэрокосмической промышленности.

Заключение

Группа использует различные тактики, включая маскировку своих полезных нагрузок под безопасные документы, чтобы обойти меры безопасности и установить соединения с другими серверами C2 для дальнейших операций. В арсенале у злоумышленников также имеется плагин для загрузки файлов CacheStore.exe, который выполняет команды для эксфильтрации данных на основе указанных путей к каталогам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Шпионские операции CNC: угроза для науки и технологий".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются