Кибератаки CL-STA-0048: угроза для Южной Азии

Кибератаки CL-STA-0048: угроза для Южной Азии

Источник: unit42.paloaltonetworks.com

В недавнем отчете исследуется кампания кибератак, известная как CL-STA-0048, нацеленная на крупные предприятия, особенно в телекоммуникационной области Южной Азии. Злоумышленники используют продвинутые тактики, что подтверждает необходимость усиления мер кибербезопасности в этом регионе.

Анализ атакующих тактик

Киберпреступники продемонстрировали ряд сложных методов для осуществления своих атак, включая:

  • Шестнадцатеричная обработка данных для доставки полезной нагрузки;
  • Эксфильтрация данных по DNS, используя ping;
  • Злоупотребление SQLcmd для кражи данных.

Анализ показывает, что злоумышленники, вероятно, имеют китайское происхождение. Первые попытки были направлены на использование серверов IIS, но после их неудачи хакеры переключились на сервер Apache, где развернули веб-оболочку ColdFusion.

Используемые инструменты и методы

В ходе атак злоумышленники использовали ряд эффективных инструментов:

  • PlugX RAT, загруженный с использованием certutil и уязвимых законных двоичных файлов;
  • Доставка файлов с помощью технологии Hex Staging;
  • Инструмент SspiUacBypass для обхода контроля учетных записей.

Исследователи выявили, что Cobalt Strike был использован для выполнения дополнительных вредоносных действий, включая установку маяка winlogon.exe для связи с сервером C2.

Идентификация источника атак

Проведенный анализ временных рамок интерактивных сеансов злоумышленника показал соответствие типичным рабочим часам в часовом поясе UTC+8, что указывает на возможную азитаскую принадлежность атакующих. Доказательства связанные с активностью хакера представляют собой следующие аспекты:

  • Использование протокола KCP, традиционно связанного с китайскими хакерами;
  • Загрузки с IP-адресов, привязанных к платформам, адаптированным для китайского языка.

Рекомендации по кибербезопасности

Кампания CL-STA-0048 подчеркивает серьезную угрозу шпионажа для правительственных и телекоммуникационных секторов Южной Азии. Организациям рекомендуется:

  • Приоритизировать меры кибербезопасности;
  • Устранить уязвимости;
  • Поддерживать ИТ-гигиену;
  • Использовать надежный мониторинг угроз.

Эти шаги помогут защитить от сложных угроз, подобных CL-STA-0048.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: