Китайский malware атаковал ресурсы австралийских правительственных организаций

Discussion in 'Мировые новости. Обсуждения.' started by alexzir, 30 Jun 2020.

  1. alexzir

    alexzir Well-Known Member

    Joined:
    29 Oct 2019
    Messages:
    129
    Likes Received:
    332
    Reputations:
    2
    В конце прошлой недели австралийское правительство опубликовало информацию об усилении деструктивной кибер-активности в отношении сетей, принадлежащих правительственным агентствам и компаниям в стране.

    Правительство утверждает, что за атакой стоит «изощренный» противник, который полагается на слегка модифицированный эксплойт для уязвимостей прошлого года. Неофициальные источники связывают эту активность с Китаем.

    О реализации атаки

    Атаки нацелены на общедоступную инфраструктуру с помощью средств удаленного выполнения кода, через бреши в непропатченных версиях пользовательского интерфейса Telerik.

    Австралийский центр кибербезопасности (ACSC) выпустил уже 4-е (1, 2, 3, 4) предупреждение о найденных уязвимостях в Telerik UI (CVE-2019-18935, CVE-2017-9248, CVE-2017-11317, CVE-2017-11357). Для каждой из указанных критических уязвимостей был опубликован код эксплойта.

    Важно отметить, что CVE-2019-18935 был использован несколькими хакерскими группами, так, недавно объявили о Blue Mockingbird (от фирмы по кибербезопасности Red Canary) для целей майнинга криптовалюты.

    ACSC утверждает, что злоумышленник также использовал уязвимость десериализации VIEWSTATE в Microsoft Internet Information Services (IIS) для загрузки веб-оболочки, уязвимость Microsoft SharePoint 2019 года (CVE-2019-0604) и уязвимость CVE-2019-19781 в Citrix. Все они критически важные.

    Если атакующие не могли получить доступ, используя бреши, то переходили к фишингу с целью сбора учетных данных, загрузки malwre, кражи OAuth-токенов Office 365.

    Также активно использовали «службы отслеживания электронной почты, чтобы идентифицировать события открытия электронной почты и отслеживания кликов», - отмечается в сообщении ACSC.

    Расследование ACSC показало, что атакующие тщательно маскировали свои операции, стараясь не оставлять признаков «подрывной или разрушительной деятельности в среде жертвы».

    Китайский след

    Набор инструментов, используемый злоумышленником, затрудняет приписывание атак конкретному действующему лицу, хотя правительство Австралии уверено, что атака организована с привлечение ресурсов спецслужб.

    В то время как премьер-министр уклонился от комментариев, сказав только, что не многие спецслужбы могут проводить операции такого типа, высокопоставленные источники сообщили Australia’s ABC News, что Китай вполне может быть в списке подозреваемых.

    Одна из связей с Китаем - использование этой угрозой вредоносных программ, связанных с китайскими проправительственными хакерскими группами.

    В списке индикаторов активности (IoCs), предоставленном ACSC, есть одна выборка, которая выделяется особо. Несколько инструментов из неё на Virus Total обнаруживаются как Korplug. Имя фигурирует в отчете ESET о OceanLotus, который, как полагают, базируется во Вьетнаме.

    Тем не менее, этот конкретный пример представляет собой PlugX, и ESET классифицирует его как Korplug, потому что два семейства вредоносных программ используют определенный метод подмены DLL.

    PlugX существует не менее 2008 года и упоминается в многочисленных отчетах компаний по кибербезопасности о кампаниях атак, связанных с Китаем. В атаках, о которых сообщал ACSC, вредоносная программа использовалась для загрузки полезной нагрузки Cobalt Strike.

    Отчет Palo Alto Networks за 2015 год связывает вредоносное ПО с DragonOK, которое они связывают с Китаем уже через два года.

    В сообщении этого года Avira сообщает, что группа Mustang Panda использовала PlugX и Cobalt Strike в атаках в Гонконге, Вьетнаме, Китае и Австралии.

    По крайней мере, 10 действующих лиц, связанных с угрозами, связаны с Китаем и занимаются шпионской деятельностью, и в их наборе инструментов есть PlugX:
    • APT41 (a.k.a. Barium, Blackfly, Group 72, Wicked Panda, Bronze Atlas)
    • Deep Panda (a.k.a. Shell Crew, Bronze Express, Kung Fu Kittens, Black Vine, PinkPanther, WebMasters)
    • APT19 (a.k.a. Codoso, Sunshop Group, Bronze Firestone, C0d0so0)
    • APT17 (a.k.a. Deputy Dog, Tailgater Team, Bronze Keystone)
    • Suckfly (a.k.a. Bronze Olive)
    • DragonOK (a.k.a. Danti, Bronze Overbrook)
    • Mustang Panda (a.k.a. Bronze President)
    • APT10 (a.k.a. Stone Panda, MenuPass, Potassium, Bronze Riverside, Hogfish, Red Apollo)
    • APT27 (a.k.a. Bronze Union, Emissary Panda, Iron Tiger, Lucky Mouse, TG-3390)
    • Roaming Tiger (a.k.a. Rotten Tomato, Bronze Woodland)
    При наличии такого количества групп подозреваемых трудно отнести атаку в Австралии к конкретному действующему лицу, но, исходя из наличия только PlugX, легко понять, почему высокопоставленные чиновники выделяют Китай в качестве основного подозреваемого.

     
    Suicide likes this.
Loading...