СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
25.03.2025
#Dev#ИБ#Инфра

Киберугроза Weaver Ant: искусные методы китайских хакеров

Киберугроза Weaver Ant: искусные методы китайских хакеров

Издание Sygnia опубликовало отчет о кибератаках, осуществляемых группой хакеров, известной как Weaver Ant. Эта группа ведет постоянный кибершпионаж против крупного телекоммуникационного провайдера в Азии, используя продуманные методы для обеспечения доступа к целевым системам.

Методология атак Weaver Ant

Weaver Ant применяет сложные техники, включая веб-оболочки и механизмы туннелирования, для облегчения своих операций. Их методология атаки базируется на следующих ключевых аспектах:

  • Получение первоначального доступа через уязвимости в общедоступных приложениях;
  • Использование различных языков сценариев, таких как PowerShell, Windows Command Shell, Visual Basic и JavaScript;
  • Поддержание постоянного доступа к сети через сохранение доменных и локальных учетных записей.

Инструменты и методы обхода безопасности

Группа активно использует веб-оболочку China Chopper для удаленного доступа и управления. Этот легкий инструмент поддерживает шифрование AES для своих операций, что делает его эффективным средством для предотвращения обнаружения с помощью автоматизированных мер безопасности, таких как брандмауэры веб-приложений (WAFs).

Weaver Ant также разработала уникальный вариант веб-оболочки, названный InMemory web shell, который позволяет выполнять вредоносные программы непосредственно в памяти, избегая записи на диск.

Горизонтальное перемещение и эксфильтрация данных

Для горизонтального перемещения и эксфильтрации данных Weaver Ant использует различные методы, включая:

  • Использование SMB и внутренних прокси-серверов для передачи файлов;
  • Сложные инструменты рекурсивного туннелирования для инкапсуляции команд и перенаправления трафика.

Обход систем безопасности

Группа демонстрирует высокую степень мастерства в обходе систем защиты. Они манипулируют системами регистрации событий, подавляя журналы и перезаписывая функции интерфейса проверки на вредоносное ПО (AMSI). Это позволяет им выполнять команды PowerShell, не вызывая предупреждений о потенциально вредоносных действиях.

Долгосрочные цели и организация действий

Weaver Ant проявляет четкую ориентацию на конкретные отрасли и стратегические сроки, что является характерной чертой хакеров, спонсируемых государством. Их действия сопровождаются длительным периодом проникновения, превышающим четыре года, несмотря на попытки улучшения безопасности.

Рекомендации для организаций

В свете вышеизложенного, организациям настоятельно рекомендуется усилить свою защиту, внедрив следующие меры:

  • Непрерывный мониторинг сетевой активности;
  • Строгий контроль доступа к ключевым системам;
  • Методы повышения надежности системы для эффективного противостояния постоянным угрозам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: