Злоумышленник по имени Redfly был связан с компрометацией национальной сети, расположенной в неназванной азиатской стране, в течение шести месяцев в начале этого года, используя известное вредоносное ПО, известное как ShadowPad.
"Злоумышленникам удалось украсть учетные данные и скомпрометировать несколько компьютеров в сети организации", - говорится в отчете Symantec Threat Hunter, входящей в состав Broadcom, которым поделилась The Hacker News. "Атака является последней в серии шпионских вторжений против объектов [критической национальной инфраструктуры]".
ShadowPad, также известный как PoisonPlug, является продолжением троянца удаленного доступа PlugX и представляет собой модульный имплантат, способный динамически загружать дополнительные плагины с удаленного сервера по мере необходимости для сбора конфиденциальных данных из взломанных сетей.
Она широко используется растущим списком групп, связанных с Китаем, по крайней мере, с 2019 года в атаках, направленных на организации в различных отраслевых вертикалях.
"ShadowPad расшифровывается в памяти с использованием пользовательского алгоритма дешифрования", - отметило в феврале 2022 года подразделение Secureworks по борьбе с угрозами (CTU). "ShadowPad извлекает информацию о хосте, выполняет команды, взаимодействует с файловой системой и реестром и развертывает новые модули для расширения функциональности".
Говорят, что самые ранние признаки атаки, нацеленной на азиатскую организацию, были зафиксированы 23 февраля 2023 года, когда ShadowPad был запущен на одном компьютере с последующим запуском бэкдора три месяца спустя, 17 мая.
Примерно в то же время был также развернут инструмент под названием Packerloader, который используется для выполнения произвольного шелл-кода, используя его для изменения разрешений для файла драйвера, известного как dump_diskfs.sys чтобы предоставить доступ всем пользователям, повышая вероятность того, что драйвер мог использоваться для создания дампов файловой системы для последующего удаления.
Кроме того, было замечено, что участники угрозы запускали команды PowerShell для сбора информации на устройствах хранения данных, подключенных к системе, удаляли учетные данные из реестра Windows, одновременно очищая журналы событий безопасности с компьютера.
"29 мая злоумышленники вернулись и использовали переименованную версию ProcDump (имя файла: alg.exe) для сброса учетных данных из LSASS", - сообщили в Symantec. "31 мая для выполнения используется запланированное задание oleview.exe , которое, скорее всего, выполняет боковую загрузку и боковое перемещение".
Есть подозрение, что Redfly использовала украденные учетные данные для распространения инфекции на другие компьютеры в сети. После почти двухмесячного перерыва злоумышленник вновь появился на сцене, чтобы установить кейлоггер 27 июля и еще раз извлечь учетные данные из LSASS и реестра 3 августа.
Symantec заявила, что общая инфраструктура и инструментарий кампании пересекаются с ранее выявленной деятельностью, приписываемой спонсируемой китайским государством группе, известной как APT41 (она же Winnti), при этом Redly почти исключительно фокусируется на объектах критически важной инфраструктуры.
Однако на сегодняшний день нет никаких доказательств того, что хакерская организация организовывала какие-либо разрушительные атаки.
"Субъекты угрозы, сохраняющие долгосрочное и постоянное присутствие в национальной сети, представляют явный риск атак, направленных на нарушение электроснабжения и других жизненно важных служб в других штатах во времена повышенной политической напряженности", - заявили в компании.
Развитие событий происходит после того, как Microsoft сообщила, что аффилированные с Китаем субъекты оттачивают визуальные носители, созданные искусственным интеллектом, для использования в операциях влияния, нацеленных на США, а также для "сбора разведданных и внедрения вредоносных программ против региональных правительств и отраслей промышленности" в регионе Южно-Китайского моря с начала года.
"Малиновый тайфун [ранее Radium] постоянно нацелен на правительственные министерства, военные структуры и корпоративные структуры, подключенные к критически важной инфраструктуре, особенно телекоммуникационной", - сказал технический гигант. "С января 2023 года малиновый тайфун был особенно настойчивым".
Другие цели включают оборонно-промышленную базу США (тайфун Circle / DEV-0322, тайфун Mulberry / марганец и тайфун Volt / DEV-0391), критически важную инфраструктуру США, правительственные учреждения в Европе и США (Storm-0558) и Тайвань (тайфун Charcoal / Хром и Лен / Storm-0919).
Это также следует из отчета Атлантического совета о том, что китайский закон, обязывающий компании, работающие в стране, сообщать о недостатках безопасности в своих продуктах Министерству промышленности и информационных технологий (MIIT), позволяет стране накапливать уязвимости и помогать государственным хакерам "повышать темп работы, успех и масштабы".
"Злоумышленникам удалось украсть учетные данные и скомпрометировать несколько компьютеров в сети организации", - говорится в отчете Symantec Threat Hunter, входящей в состав Broadcom, которым поделилась The Hacker News. "Атака является последней в серии шпионских вторжений против объектов [критической национальной инфраструктуры]".
ShadowPad, также известный как PoisonPlug, является продолжением троянца удаленного доступа PlugX и представляет собой модульный имплантат, способный динамически загружать дополнительные плагины с удаленного сервера по мере необходимости для сбора конфиденциальных данных из взломанных сетей.
Она широко используется растущим списком групп, связанных с Китаем, по крайней мере, с 2019 года в атаках, направленных на организации в различных отраслевых вертикалях.
"ShadowPad расшифровывается в памяти с использованием пользовательского алгоритма дешифрования", - отметило в феврале 2022 года подразделение Secureworks по борьбе с угрозами (CTU). "ShadowPad извлекает информацию о хосте, выполняет команды, взаимодействует с файловой системой и реестром и развертывает новые модули для расширения функциональности".
Говорят, что самые ранние признаки атаки, нацеленной на азиатскую организацию, были зафиксированы 23 февраля 2023 года, когда ShadowPad был запущен на одном компьютере с последующим запуском бэкдора три месяца спустя, 17 мая.
Примерно в то же время был также развернут инструмент под названием Packerloader, который используется для выполнения произвольного шелл-кода, используя его для изменения разрешений для файла драйвера, известного как dump_diskfs.sys чтобы предоставить доступ всем пользователям, повышая вероятность того, что драйвер мог использоваться для создания дампов файловой системы для последующего удаления.
Кроме того, было замечено, что участники угрозы запускали команды PowerShell для сбора информации на устройствах хранения данных, подключенных к системе, удаляли учетные данные из реестра Windows, одновременно очищая журналы событий безопасности с компьютера.
"29 мая злоумышленники вернулись и использовали переименованную версию ProcDump (имя файла: alg.exe) для сброса учетных данных из LSASS", - сообщили в Symantec. "31 мая для выполнения используется запланированное задание oleview.exe , которое, скорее всего, выполняет боковую загрузку и боковое перемещение".
Есть подозрение, что Redfly использовала украденные учетные данные для распространения инфекции на другие компьютеры в сети. После почти двухмесячного перерыва злоумышленник вновь появился на сцене, чтобы установить кейлоггер 27 июля и еще раз извлечь учетные данные из LSASS и реестра 3 августа.
Symantec заявила, что общая инфраструктура и инструментарий кампании пересекаются с ранее выявленной деятельностью, приписываемой спонсируемой китайским государством группе, известной как APT41 (она же Winnti), при этом Redly почти исключительно фокусируется на объектах критически важной инфраструктуры.
Однако на сегодняшний день нет никаких доказательств того, что хакерская организация организовывала какие-либо разрушительные атаки.
"Субъекты угрозы, сохраняющие долгосрочное и постоянное присутствие в национальной сети, представляют явный риск атак, направленных на нарушение электроснабжения и других жизненно важных служб в других штатах во времена повышенной политической напряженности", - заявили в компании.
Развитие событий происходит после того, как Microsoft сообщила, что аффилированные с Китаем субъекты оттачивают визуальные носители, созданные искусственным интеллектом, для использования в операциях влияния, нацеленных на США, а также для "сбора разведданных и внедрения вредоносных программ против региональных правительств и отраслей промышленности" в регионе Южно-Китайского моря с начала года.
"Малиновый тайфун [ранее Radium] постоянно нацелен на правительственные министерства, военные структуры и корпоративные структуры, подключенные к критически важной инфраструктуре, особенно телекоммуникационной", - сказал технический гигант. "С января 2023 года малиновый тайфун был особенно настойчивым".
Другие цели включают оборонно-промышленную базу США (тайфун Circle / DEV-0322, тайфун Mulberry / марганец и тайфун Volt / DEV-0391), критически важную инфраструктуру США, правительственные учреждения в Европе и США (Storm-0558) и Тайвань (тайфун Charcoal / Хром и Лен / Storm-0919).
Это также следует из отчета Атлантического совета о том, что китайский закон, обязывающий компании, работающие в стране, сообщать о недостатках безопасности в своих продуктах Министерству промышленности и информационных технологий (MIIT), позволяет стране накапливать уязвимости и помогать государственным хакерам "повышать темп работы, успех и масштабы".
