Китайский кибершпион атакует критическую инфраструктуру Азии с помощью уникальных вредоносных программ
Сложная многолетняя кампания кибершпионажа нацелена на высокоценные организации в Южной, Юго-Восточной и Восточной Азии. Жертвами стали ключевые секторы, включая авиацию, энергетику, государственные структуры, правоохранительные органы, фармацевтику, технологии и телекоммуникации. Исследователи безопасности из Unit 42 компании Palo Alto Networks приписали эту деятельность ранее недокументированной группе угроз, обозначенной как CL-UNK-1068.
Основной целью этой настойчивой кампании, по оценкам экспертов с умеренно-высокой степенью уверенности, является кибершпионаж для получения стратегического преимущества. Противник использует многогранный и прагматичный набор инструментов, разработанный для скрытности и устойчивости. Этот арсенал включает собственные вредоносные программы, стратегически модифицированные утилиты с открытым исходным кодом и легитимные системные двоичные файлы.
Такой подход позволяет злоумышленникам маскироваться под обычную активность, используя законные инструменты уже присутствующие в сети для вредоносных действий. Ключевыми компонентами их набора являются известные веб-шеллы Godzilla и ANTSWORD, бэкдор Xnote для Linux и инструмент Fast Reverse Proxy для создания скрытых туннелей.
Методология атак обычно начинается с эксплуатации уязвимостей в публичных веб-серверах. После получения первоначального доступа злоумышленники развертывают веб-шеллы для закрепления в системе. Затем они перемещаются по сети к другим хостам, уделяя особое внимание краже конкретных файлов с веб-серверов Windows.
Угроза CL-UNK-1068 систематически ищет и похищает файлы с расширениями, указывающими на конфигурацию веб-приложений, исходный код и библиотеки. Этот шаблон свидетельствует о целенаправленных усилиях по извлечению встроенных учетных данных, обнаружению секретов и выявлению уязвимостей программного обеспечения для дальнейшей эксплуатации, что представляет серьезную угрозу для безопасности региона.
