Carding 4 Carders
Professional
Ранее недокументированный субъект угрозы неизвестного происхождения был связан с рядом атак, нацеленных на организации производственного, IT- и биомедицинского секторов Тайваня.
Команда Symantec Threat Hunter, входящая в состав Broadcom, приписала атаки продвинутой постоянной угрозе (APT), которую она отслеживает под названием Grayling. Данные показывают, что кампания началась в феврале 2023 года и продолжалась по крайней мере до мая 2023 года.
Также вероятными целями в рамках этой деятельности являются правительственные учреждения, расположенные на островах Тихого океана, а также организации во Вьетнаме и США.
"Эта активность выделялась благодаря использованию Grayling особой технологии боковой загрузки DLL, которая использует пользовательский дешифратор для развертывания полезных нагрузок", - говорится в отчете компании, опубликованном в Hacker News. "Мотивацией, стимулирующей эту деятельность, по-видимому, является сбор разведданных".
Говорят, что первоначальная точка опоры в среде жертв была достигнута за счет использования общедоступной инфраструктуры с последующим развертыванием веб-оболочек для постоянного доступа.
Затем цепочки атак используют стороннюю загрузку DLL через SbieDll_Hook для загрузки различных полезных ресурсов, включая Cobalt Strike, NetSpy и Havoc Framework, наряду с другими инструментами, такими как Mimikatz. Также было замечено, что Grayling уничтожает все процессы, перечисленные в файле с именем processlist.txt.
Загрузка DLL на стороне - это популярный метод, используемый различными участниками угроз для обхода решений безопасности и обмана операционной системы Windows с целью выполнения вредоносного кода на целевой конечной точке.
Это часто достигается путем размещения вредоносной библиотеки DLL с тем же именем, что и у законной библиотеки DLL, используемой приложением, в месте, где она будет загружена раньше реальной библиотеки DLL, используя преимущества механизма заказа поиска в DLL.
"Получив первоначальный доступ к компьютерам жертв, злоумышленники предпринимают различные действия, включая повышение привилегий, сканирование сети и использование загрузчиков", - заявили в Symantec.
Стоит отметить, что использование боковой загрузки DLL в отношении SbieDll_Hook и SandboxieBITS.exe ранее наблюдалось в случае с Naikon APT при атаках на военные организации в Юго-Восточной Азии.
Symantec сообщила The Hacker News, что не обнаружила никаких совпадений между Grayling и Naikon, но отметила, что "загрузка DLL на стороне является довольно распространенным методом для участников APT в наши дни, особенно среди участников, работающих за пределами Китая".
На сегодняшний день нет никаких доказательств того, что противник участвовал в какой-либо форме утечки данных, предполагая, что мотивы больше направлены на разведку и сбор разведданных.
Использование общедоступных инструментов рассматривается как попытка усложнить усилия по установлению авторства, в то время как завершение процесса указывает на то, что уклонение от обнаружения является приоритетом для того, чтобы оставаться незамеченным в течение длительных периодов времени.
"Интенсивное нацеливание на тайваньские организации указывает на то, что они, вероятно, действуют из региона со стратегическим интересом к Тайваню", - добавили в компании.
Команда Symantec Threat Hunter, входящая в состав Broadcom, приписала атаки продвинутой постоянной угрозе (APT), которую она отслеживает под названием Grayling. Данные показывают, что кампания началась в феврале 2023 года и продолжалась по крайней мере до мая 2023 года.
Также вероятными целями в рамках этой деятельности являются правительственные учреждения, расположенные на островах Тихого океана, а также организации во Вьетнаме и США.
"Эта активность выделялась благодаря использованию Grayling особой технологии боковой загрузки DLL, которая использует пользовательский дешифратор для развертывания полезных нагрузок", - говорится в отчете компании, опубликованном в Hacker News. "Мотивацией, стимулирующей эту деятельность, по-видимому, является сбор разведданных".
Говорят, что первоначальная точка опоры в среде жертв была достигнута за счет использования общедоступной инфраструктуры с последующим развертыванием веб-оболочек для постоянного доступа.
Затем цепочки атак используют стороннюю загрузку DLL через SbieDll_Hook для загрузки различных полезных ресурсов, включая Cobalt Strike, NetSpy и Havoc Framework, наряду с другими инструментами, такими как Mimikatz. Также было замечено, что Grayling уничтожает все процессы, перечисленные в файле с именем processlist.txt.
Загрузка DLL на стороне - это популярный метод, используемый различными участниками угроз для обхода решений безопасности и обмана операционной системы Windows с целью выполнения вредоносного кода на целевой конечной точке.
Это часто достигается путем размещения вредоносной библиотеки DLL с тем же именем, что и у законной библиотеки DLL, используемой приложением, в месте, где она будет загружена раньше реальной библиотеки DLL, используя преимущества механизма заказа поиска в DLL.
"Получив первоначальный доступ к компьютерам жертв, злоумышленники предпринимают различные действия, включая повышение привилегий, сканирование сети и использование загрузчиков", - заявили в Symantec.
Стоит отметить, что использование боковой загрузки DLL в отношении SbieDll_Hook и SandboxieBITS.exe ранее наблюдалось в случае с Naikon APT при атаках на военные организации в Юго-Восточной Азии.
Symantec сообщила The Hacker News, что не обнаружила никаких совпадений между Grayling и Naikon, но отметила, что "загрузка DLL на стороне является довольно распространенным методом для участников APT в наши дни, особенно среди участников, работающих за пределами Китая".
На сегодняшний день нет никаких доказательств того, что противник участвовал в какой-либо форме утечки данных, предполагая, что мотивы больше направлены на разведку и сбор разведданных.
Использование общедоступных инструментов рассматривается как попытка усложнить усилия по установлению авторства, в то время как завершение процесса указывает на то, что уклонение от обнаружения является приоритетом для того, чтобы оставаться незамеченным в течение длительных периодов времени.
"Интенсивное нацеливание на тайваньские организации указывает на то, что они, вероятно, действуют из региона со стратегическим интересом к Тайваню", - добавили в компании.
