Χάκερ της κινεζικής κυβέρνησης διεξάγουν μια πολύμηνη εκστρατεία κυβερνοκατασκοπείας εναντίον οντοτήτων στην Αυστραλία, Μαλαισία και Ευρώπη, καθώς και εταιρείες που δραστηριοποιούνται στη Θάλασσα της Νότιας Κίνας.
Η καμπάνια στοχεύει αυστραλιανές κρατικές υπηρεσίες, Αυστραλιανά μέσα ενημέρωσης και παγκόσμιες εταιρείες βαριάς βιομηχανίας που διατηρούν ανεμογεννήτριες στη Θάλασσα της Νότιας Κίνας. Σε κοινή έκθεση, Απόδειξη και PwC απέδωσε την κατασκοπεία σε APT40 (Μεγαθήριο, ΤΑ423, Red Ladon). Επιπλέον, το Υπουργείο Κρατικής Ασφάλειας της Κίνας (MGB ΛΔΚ) φέρεται να βρίσκεται πίσω από τις δραστηριότητες της APT40.
Να σας θυμίσω ότι το γράψαμε και αυτό γενναίο και φιλεργό άτομο Woody Rat επιτίθεται σε ρωσικές οργανώσεις, και επίσης αυτό Τα ΜΜΕ το είπαν BMW και Hyundai έχουν χακαριστεί από Ocean Lotus.
Πολλά κύματα εκστρατειών phishing πραγματοποιήθηκαν μεταξύ Απριλίου 12 και τον Ιούνιο 15 και χρησιμοποίησε διευθύνσεις URL εκκίνησης από εταιρείες πολυμέσων της Αυστραλίας για την παράδοση ScanBox εργαλείο νοημοσύνης. Τα μηνύματα ηλεκτρονικού ψαρέματος περιείχαν θέματα όπως “Αναρρωτική άδεια”, “Έρευνα χρηστών”, και “Αίτημα Συνεργασίας”.
Στην επίθεση, ο χάκερ υποδύθηκε ως υπάλληλος ενός εικονικού αυστραλιανού μέσου ενημέρωσης και παρείχε μια κακόβουλη διεύθυνση URL τομέα, παροτρύνοντας το θύμα να περιηγηθεί σε έναν ιστότοπο ή να μοιραστεί ερευνητικό περιεχόμενο για δημοσίευση στον ιστότοπο. Το APT40 χρησιμοποιεί έναν ελεγχόμενο τομέα που χρησιμοποιείται για την παράδοση κακόβουλου λογισμικού.
Το ScanBox είναι κακόβουλο λογισμικό που βασίζεται σε JavaScript που επιτρέπει σε έναν χάκερ να δημιουργήσει προφίλ των θυμάτων του και να παραδώσει ένα ωφέλιμο φορτίο επόμενου σταδίου που περιέχει HUI Loader, PlugX, και ShadowPad RAT trojans.
Το ScanBox εξάγει και εκκινεί αρκετές προσθήκες στο πρόγραμμα περιήγησης ιστού του θύματος που:
- καταχωρήστε πατήματα πλήκτρων;
- αφαιρέστε το δακτυλικό αποτύπωμα του προγράμματος περιήγησης;
- συλλέξτε μια λίστα με τα εγκατεστημένα πρόσθετα του προγράμματος περιήγησης;
- ανταλλάσσουν δεδομένα με μολυσμένα μηχανήματα;
- ελέγξτε για την παρουσία του Kaspersky Internet Security (ΜΙΚΡΟ).
Επίσης, Αυτές οι επιθέσεις χρησιμοποίησαν κακόβουλα έγγραφα RTF για την παράδοση ενός φορτωτή πρώτου σταδίου, που στη συνέχεια λειτούργησε ως αγωγός για την απόκτηση κωδικοποιημένων εκδόσεων του Μετρητής shellcode. Ένα από τα θύματα αυτής της εκστρατείας τον Μάρτιο 2022 ήταν Ευρωπαίος κατασκευαστής βαρέως βιομηχανικού εξοπλισμού για υπεράκτια αιολικά πάρκα στα στενά της Ταϊβάν.
Το Scanbox είναι ήδη γνωστό στην κοινότητα της κυβερνοασφάλειας. Το χρησιμοποιήθηκε από Κινέζους κατασκόπους στον κυβερνοχώρο από την APT 10 στο πλαίσιο εκστρατείας κατά των μελών του Εθνικού Συμβουλίου Εξωτερικού Εμπορίου των ΗΠΑ.
Επίσης σε 2019, άγνωστοι επιτιθέμενοι παραβίασε ιστότοπο της πακιστανικής κυβέρνησης και το μόλυναν με ένα keylogger και άλλο κακόβουλο λογισμικό για τη συλλογή δεδομένων από χρήστες που ελέγχουν την κατάσταση της αίτησής τους για πακιστανική υπηκοότητα.
Αφήστε ένα σχόλιο