Найти в Дзене
CISOCLUB
11,5 тыс подписчиков

Китайских хакеров обвинили в атаках на британские, турецкие, тайваньские, испанские и итальянские организации

1 мин
Одну из наиболее известных в последние годы китайских хакерских группировок APT41 обвинили в проведении крупномасштабных кибератак против организаций, работающих в сфере международных перевозок и логистики, автомобилестроения, СМИ, технологий и развлечений. Как рассказывают эксперты компании Mandiant, киберпреступники якобы проводили атаки против предприятий из Великобритании, Турции, Таиланда, Тайваня, Испании и Италии. «APT41 успешно проникала и поддерживала длительный несанкционированный доступ к сетям многочисленных компаний из Великобритании, Турции, Таиланда, Тайваня, Испании и Италии с 2023 года, что позволило им извлекать конфиденциальные данные в течение длительного периода времени», — сказано в новом отчёте Mandiant. Эксперты рассказали, что цепочки атак предполагают использование веб-оболочек (ANTSWORD и BLUEBEAM), пользовательских дропперов (DUSTPAN и DUSTTRAP) и общедоступных инструментов (SQLULDR2 и PINEGROVE) для обеспечения устойчивости, доставки дополнительных полезных
источник: dall-e
источник: dall-e

Одну из наиболее известных в последние годы китайских хакерских группировок APT41 обвинили в проведении крупномасштабных кибератак против организаций, работающих в сфере международных перевозок и логистики, автомобилестроения, СМИ, технологий и развлечений. Как рассказывают эксперты компании Mandiant, киберпреступники якобы проводили атаки против предприятий из Великобритании, Турции, Таиланда, Тайваня, Испании и Италии.

«APT41 успешно проникала и поддерживала длительный несанкционированный доступ к сетям многочисленных компаний из Великобритании, Турции, Таиланда, Тайваня, Испании и Италии с 2023 года, что позволило им извлекать конфиденциальные данные в течение длительного периода времени», — сказано в новом отчёте Mandiant.

Эксперты рассказали, что цепочки атак предполагают использование веб-оболочек (ANTSWORD и BLUEBEAM), пользовательских дропперов (DUSTPAN и DUSTTRAP) и общедоступных инструментов (SQLULDR2 и PINEGROVE) для обеспечения устойчивости, доставки дополнительных полезных нагрузок и извлечения интересующих данных.

В отчёте также сказано, что веб-оболочки выступают в качестве канала для загрузки сбрасывателя DUSTPAN (он же StealthVector), который отвечает за загрузку Cobalt Strike Beacon для связи по командованию и управлению (C2).

После этого следует развертывание сбрасывателя DUSTTRAP после бокового перемещения. DUSTTRAP, со своей стороны, настроен на расшифровку вредоносной нагрузки и выполнение её в памяти, которая, в свою очередь, устанавливает связь с контролируемым злоумышленником сервером или скомпрометированной учетной записью Google Workspace в попытке скрыть свои вредоносные действия.

В корпорации Google уточнили, что обнаруженные учетные записи Workspace были исправлены для предотвращения несанкционированного доступа. Однако они не раскрыли, сколько учетных записей были затронуты.

Оригинал публикации на сайте CISOCLUB: "Китайских хакеров обвинили в атаках на британские, турецкие, тайваньские, испанские и итальянские организации".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.