Добавить в корзинуПозвонить
Найти в Дзене
DigiNews
2268 подписчиков

Хакеры из Китая атакуют научные центры в США и Канаде, используя “legacy” уязвимости в REDCap

2
3 мин
Google предупреждает о кампании кибершпионажа, связанной с угрозой UNC6508 из Китая, которая более года следила за исследовательскими средами США и Канады. Атака использовала платформу REDCap, перехватывая процесс обновления для внедрения вредоносного ПО. […] — csoonline.com Компания Google предупреждает о кампании кибершпионажа, связанной с угрозой, исходящей от группы UNC6508, имеющей связи с Китаем. Эта группа более года пристально следила за ценными исследовательскими средами в США и Канаде. В ходе кампании злоумышленники использовали REDCap — широко распространенную платформу для сбора и управления исследовательскими данными. Атакующие, деятельность которых на данный момент пресечена, перехватывали процесс обновления REDCap для внедрения вредоносного ПО для обеспечения постоянного присутствия. По данным Группы по анализу угроз Google (GTIG), кампания была особенно нацелена на академические учреждения, центры медицинских исследований, поставщиков медицинских услуг, военные медицинс
Оглавление

Google предупреждает о кампании кибершпионажа, связанной с угрозой UNC6508 из Китая, которая более года следила за исследовательскими средами США и Канады. Атака использовала платформу REDCap, перехватывая процесс обновления для внедрения вредоносного ПО. […] — csoonline.com

Компания Google предупреждает о кампании кибершпионажа, связанной с угрозой, исходящей от группы UNC6508, имеющей связи с Китаем. Эта группа более года пристально следила за ценными исследовательскими средами в США и Канаде.

В ходе кампании злоумышленники использовали REDCap — широко распространенную платформу для сбора и управления исследовательскими данными. Атакующие, деятельность которых на данный момент пресечена, перехватывали процесс обновления REDCap для внедрения вредоносного ПО для обеспечения постоянного присутствия.

По данным Группы по анализу угроз Google (GTIG), кампания была особенно нацелена на академические учреждения, центры медицинских исследований, поставщиков медицинских услуг, военные медицинские сети и исследовательские программы, связанные с обороной.

Google сообщила, что UNC6508 исторически заражала устаревшие версии REDCap, и наблюдаемая кампания лишь развивала это первоначальное заражение для внедрения кода, обеспечивающего постоянное присутствие.

«GTIG не смогла подтвердить, как именно UNC6508 первоначально получила доступ к серверу REDCap», — заявили исследователи GTIG в записи в блоге. «По своей конструкции REDCap позволяет администраторам продолжать использовать устаревшее программное обеспечение параллельно с текущей версией. Было замечено, что UNC6508 сканировала эти уязвимые устаревшие версии в системах REDCap нескольких целевых организаций».

Государственная группа охотилась за широким спектром конфиденциальной информации, связанной с исследованиями и обороной, включая национальную безопасность, ИИ, кибероперации и медицинские исследования.

Исследовательская платформа стала входной дверью

Помимо обеспечения постоянного присутствия, кампания поддерживала обнаружение учетных данных, внутреннюю разведку и операции после компрометации.

UNC6508 использовала полезную нагрузку, отслеживаемую как INFINITERED, — модульное вредоносное ПО, предназначенное для внедрения в легитимные системные файлы REDCap. Вредоносное ПО состоит из трех специализированных компонентов: загрузчика и перехватчика обновлений, сборщика учетных данных и бэкдора с управлением и контролем (c2).

Модуль перехвата обновлений считывает устаревшие версии REDCap, которые все еще доступны в некоторых текущих развертываниях REDCap и уже заражены вредоносной логикой через неизвестный первоначальный доступ, и извлекает эту вредоносную логику из данной версии. Затем он внедряет этот код в системный файл обновления.

Параллельно два других модуля внедряют код сборщика учетных данных в файл системы аутентификации, а код бэкдора — в файл конфигурации пользовательских хуков соответственно.

«Установив плацдарм на сервере REDCap, UNC6508 проводила внутреннюю разведку и сбор учетных данных для получения учетных записей баз данных и сервисных аккаунтов», — заявили исследователи GTIG в записи блога. «Злоумышленник также развернул веб-шелл под названием “help.php”, который поддерживал постоянное присутствие и функционировал как загрузчик в приложении REDCap».

Бэкдор поддерживает ряд удаленных команд, которые позволяют операторам управлять файлами, выполнять команды оболочки, собирать информацию о системе и сохранять контроль над скомпрометированными серверами REDCap, предоставляя UNC6508 богатый набор инструментов для действий после компрометации.

Разработчики REDCap не ответили на запрос CSO о комментариях.

Поиск и удаление INFINITERED

Поскольку INFINITERED встраивается в рабочий процесс обновления REDCap и изменяет легитимные файлы приложения, организациям рекомендуется проверять среды REDCap на наличие несанкционированных изменений файлов, неожиданных веб-шеллов и признаков активности по сбору учетных данных с использованием правила YARA, предоставленного GTIG.

Google также рекомендует обновлять уязвимые развертывания REDCap, проверять устаревшие версии, которые остаются доступными наряду с текущими установками, и подтверждать целостность файлов приложения до и после обновлений. Для ужесточения контроля также рекомендовалось внедрение двухфакторной аутентификации, устойчивой к фишингу, привязанных к устройству сеансовых учетных данных и соответствующих правил DLP.

Google сообщила, что уведомила несколько организаций в США и Канаде, которые, по ее мнению, были скомпрометированы с помощью INFINITERED, и предложила помощь в устранении последствий.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Автор – Shweta Sharma

Оригинал статьи