Aa Aa Aa

Азіатська криза: Китай веде масове шпигунство в Азії

Азіатська криза: Китай веде масове шпигунство в Азії

В азіатському регіоні стався наліт кількох китайських груп із інструментами для стеження та крадіжки даних.

Фахівці підрозділу Unit 42 ІБ-компанії Palo Alto Networks повідомляють , що неназваний уряд Південно-Східної Азії став метою кількох китайських угруповань хакерів, які проводили шпигунські кампанії в регіоні протягом тривалого часу. Діяльність відбувалася приблизно в той самий час і іноді навіть одночасно на одних і тих же комп'ютерах жертв, але кожна група використовувала унікальні інструменти, методи роботи та інфраструктуру.

Атаки, націлені на різні держоргани, включаючи критичну інфраструктуру, громадські медичні установи та міністерства, були приписані трьома різними групами: Stately Taurus (Mustang Panda), Alloy Taurus (Granite Typhoon) та Gelsemium.

  • Mustang Panda використовувала варіанти TONESHELL та ShadowPad . Основна мета – збір розвідданих та крадіжка конфіденційної інформації. Під час кампанії зловмисники контролювали середовище жертв, зосереджуючись на довгостроковому управлінні. Серед інструментаріїв угруповання - AdFind , Mimikatz , Impacket , веб-оболонки China Chopper , Cobalt Strike , ShadowPad та нова версія бекдору TONESHELL .
  • Alloy Tauru s намагалася залишатися непоміченою. Група розпочала свої дії на початку 2022 року і продовжувала їх протягом 2023 року, використовуючи незвичайні методи зараження та обминаючи засоби безпеки. Хакери експлуатували вразливості в Microsoft Exchange Server для розгортання веб-оболонок та додаткових завантажень, серед яких .NET-бекдори Zapoa та ReShell для віддаленого виконання довільних команд та збору конфіденційної інформації.
  • Gelsemium зосереджувалась на вразливих IIS- серверах. Група була активна протягом шести місяців між 2022 та 2023 роками. Зловмисники використали рідкісні інструменти та методи для отримання доступу до чутливих IIS-серверів Microsoft уряду Південно-Східної Азії. Інвентар групи включає бекдори OwlProxy та SessionManager, а також інструменти Cobalt Strike, Meterpreter, Earthworm та SpoolFool для постексплуатації, тунелювання трафіку та підвищення привілеїв.

Оскільки деякі спроби зловмисників встановити шкідливе програмне забезпечення виявилися безуспішними, вони продовжували використовувати нові інструменти, демонструючи свою здатність адаптуватися до процесу пом'якшення наслідків.