СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17.04.2025
#ИБ#Инфра

Киберугроза от «Ядовитого плюща»: постоянная атака на безопасность

Киберугроза от Ядовитого плюща: постоянная атака на безопасность

Источник: mp.weixin.qq.com

Группировка «Ядовитый плющ» (APT-Q-20), базирующаяся в китайской провинции Тайвань, с 2007 года ведет целенаправленные кибератаки на правительственные и военные учреждения материкового Китая. Изначально обнаруженные в 2015 году, ее действия начали эволюционировать, сосредоточившись на фишинге и скрытом доступе для сбора разведывательных данных.

Методы работы и тактика

Атаки группы «Ядовитый плющ» в последние годы приобрели новую форму. В период с 2018 по 2025 год они усилили свои усилия, направленные на получение личной информации через:

  • Крупномасштабные имитационные атаки в социальных сетях;
  • Фишинг через электронную почту;
  • Создание обманчивых веб-сайтов.

Основные приемы фишинга заключаются в следующем:

  • Создание фальшивых сайтов и размещение вредоносных ссылок в электронных письмах;
  • Запрос учётных данных пользователя через обманчивые вложения, такие как filename.pdf.exe;
  • Использование троянов для загрузки коммерческих вредоносных программ, таких как Cobalt Strike и Sliver.

Анализ атак

Среди характерных особенностей фишинговых кампаний «Ядовитого плюща» можно отметить:

  • Хранение паролей жертв в виде текстовых файлов на скомпрометированных доменах;
  • Непреднамеренный доступ к учетным данным сервера через плохо упакованные файлы;
  • Регистрация фишинговых доменов, имитирующих законные сайты.

Кроме того, злоумышленники применяют сложные методы обхода защиты, такие как:

  • Расшифровка встроенных данных base64;
  • Последовательное дешифрование AES;
  • Удаленное управление с помощью Cobalt Strike.

Уязвимости и рекомендации

Группа «Ядовитый плющ» показывает настойчивость в использовании публично раскрытых уязвимостей, особенно касающихся слабых паролей. Примерно 30% их атак сосредоточены на маршрутизаторах, камерах и устройствах для «умного дома».

Несмотря на то, что их методы могут казаться не слишком изощренными, постоянная регистрация новых фишинговых доменов указывает на адаптивную природу угроз. В условиях растущей геополитической напряженности вероятность дальнейших атак со стороны APT, подобных «Ядовитому плющу», возрастает.

Заключение

Угроза, исходящая от APT из Тайваня, требует особого внимания и принятия упреждающих мер в области кибербезопасности. Частным лицам и компаниям рекомендуется:

  • Усилить меры безопасности;
  • Внедрить надежные пароли;
  • Проявлять бдительность в отношении возможных попыток фишинга.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: