«Лаборатория Касперского»: китайские хакеры атакуют российские оборонные предприятия

Дата: 08.08.2022. Автор: Артем П. Категории: Новости по информационной безопасности
«Лаборатория Касперского»: китайские хакеры атакуют российские оборонные предприятия
Изображение: Yan Ke (unsplash)

Китайская киберпреступная группировка Т428 с начала 2022 года несколько раз провела кибератаки на оборонные организации России, предприятия отрасли из государств Восточной Европы и Азии. С соответствующим заявлением выступили в пресс-службе компании «Лаборатория Касперского», уточнив, что основной целью таких кибератак является кибершпионаж, сообщает ТАСС.

В «Лаборатории Касперского» подчеркнули, что с начала этого года регистрируется множество целевых кибератак, которые проводятся против оборонных предприятий военных учреждений, государственных структур Афганистана, РФ и восточноевропейских стран.

В ходе исследования эксперты смогли обнаружить около 12 атакованных организаций. Предполагается, что основной целью злоумышленников является кибершпионаж. Специалисты уверены, что обнаруженная серия кибератак, вероятно, связана с профессиональной деятельностью китайской киберпреступной группировки Т428.

В некоторых случаях хакеры во время атак полностью захватывали ИТ-инфраструктуру атакованных организаций. Чаще всего они пользовались новейшими модификациями ранее известного вредоносного ПО, которое предназначено для скрытого дистанционного управления зараженной системой, а также техниками развития кибератак и обходами средств кибербезопасности.

Участники хакерской группировки Т428 пользовались фишинговыми письмами для обмана целевых жертв. В письмах содержалась закрытая внутренняя информация, которая не была доступна в общих источниках в Интернете на момент её эксплуатации киберпреступниками. В частности, во время фишинговых атак в присылаемых письмах хакеры могли использовать полные имена сотрудников, которые работали с конфиденциальными данными, а также внутренние кодовые названия проектов. Такой подход позволял завоевать доверие жертв.

В «Лаборатории Касперского» уточнили, что во вредоносных фишинговых письмах содержались документы MS Word вредоносным кодом, которые эксплуатировали ошибку CVE-2017-11882, позволяющую вредоносному ПО без каких-либо вспомогательных пользовательских действий получать управление над атакуемой системой.

При этом от пользователя не требовалось дополнительно включать выполнение макросов, как обычно это происходит при традиционных фишинговых атаках с вредоносом, содержащимся в электронных письмах.

Чтобы развить атаку, киберпреступники пользовались утилиту Ladon, имеющую функционал для сканирования сети, обнаружения и эксплуатации уязвимости, кражи учетных данных.

На завершающей стадии участники группы Т428 захватывали контроллер домена, что позволяло им полностью контролировать рабочие станции и серверы организаций. Затем киберпреступники начинали искать и загружать файлы, которые содержали конфиденциальную информацию, на свои серверы, развёрнутые в различных странах. Те же серверы применялись злоумышленниками для управления вредоносным программным обеспечением.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *