SecAtor

Symantec в новом отчете отмечает, что инструменты, используемые китайскими APT, задействовались в недавней атаке с вымогательстом, по всей видимости, хакером в качестве подработки.

Замеченный набор включает в себя легитимный исполняемый файл Toshiba, который устанавливается на системах жертв для загрузки вредоносной DLL-библиотеки, которая развертывает сильно замаскированную полезную нагрузку, содержащую бэкдор PlugX (он же Korplug).

По данным Symantec, ранее бэкдор был связан с китайской Mustang Panda (aka Earth Preta) и никогда не применялся злоумышленниками в других странах.

В период с июля 2024 по январь 2025 года вариант PlugX использовался в атаках на структуры МИД страны Юго-Восточной Европы, правительство другой страны Юго-Восточной Европы, два министерства и оператора связи в Юго-Восточной Азии.

Все эти вторжения были обусловлены целью кибершпионажа, и тот же инструментарий был замечен в ноябре 2024 года с нацеливанным на компанию по разработке ПО в Южной Азии.

Злоумышленник использовал исполняемый файл Toshiba для загрузки вредоносной DLL и развертывания того же варианта PlugX, который наблюдался в APT-атаках, а затем запустил на системах жертвы штамм ransomware под названием RA World.

При этом для первоначального доступа использовалась известная уязвимость брандмауэра Palo Alto Networks (CVE-2024-0012).

Злоумышленник заявил, что получил административные учетные данные в инфраструктуре организации, выкрал учетные данные Amazon S3 с сервера Veeam и извлек содержимое контейнеров S3, прежде чем запустить шифровальщик.

Как отмечают в Symantec, большинство инструментов китайских APT не являются общедоступными, а значит инсайдер, имеющий к ним доступ, вероятно, использовал их для атаки с целью вымогательства.

Причем атака с использованием программы-вымогателя, вероятно, совершалась одним лицом, желающим подзаработать к пенсии, используя инструментарий своего работодателя.

Безусловно, нельзя исключать использования ransomware в качестве приманки для рядовой операции, но Synantec полагает, что цель не имела стратегического значения.

Злоумышленнику не удалось эффективно замести следы. Хакер, по-видимому, был заинтересован в получении оплаты, потратив время на переписку с жертвой.

Symantec также отмечает, что для китайских групп нетипично участие в операциях по вымогательству, это больше характерно для северокорейцев.

Кроме того, основываясь на детектировании прокси-инструмента под названием NPS, злоумышленник мог быть связан с APT Bronze Starlight (aka Emperor Dragonfly), которая ранее была замечена в использовании вымогателей в качестве приманки.

В общем, выкуп получить, очевидно, не удалось, так что при любом раскладе: это залет, боец!

Security

China-linked Espionage Tools Used in Ransomware Attacks

Espionage actor may be moonlighting as RA World attacker.

www.group-telegram.com/ar/true_secator.com/6732

8.7K viewsFeb 13 at 18:30

Symantec в новом отчете отмечает, что инструменты, используемые китайскими APT, задействовались в недавней атаке с вымогательстом, по всей видимости, хакером в качестве подработки.

Замеченный набор включает в себя легитимный исполняемый файл Toshiba, который устанавливается на системах жертв для загрузки вредоносной DLL-библиотеки, которая развертывает сильно замаскированную полезную нагрузку, содержащую бэкдор PlugX (он же Korplug).

По данным Symantec, ранее бэкдор был связан с китайской Mustang Panda (aka Earth Preta) и никогда не применялся злоумышленниками в других странах.

В период с июля 2024 по январь 2025 года вариант PlugX использовался в атаках на структуры МИД страны Юго-Восточной Европы, правительство другой страны Юго-Восточной Европы, два министерства и оператора связи в Юго-Восточной Азии.

Все эти вторжения были обусловлены целью кибершпионажа, и тот же инструментарий был замечен в ноябре 2024 года с нацеливанным на компанию по разработке ПО в Южной Азии.

Злоумышленник использовал исполняемый файл Toshiba для загрузки вредоносной DLL и развертывания того же варианта PlugX, который наблюдался в APT-атаках, а затем запустил на системах жертвы штамм ransomware под названием RA World.

При этом для первоначального доступа использовалась известная уязвимость брандмауэра Palo Alto Networks (CVE-2024-0012).

Злоумышленник заявил, что получил административные учетные данные в инфраструктуре организации, выкрал учетные данные Amazon S3 с сервера Veeam и извлек содержимое контейнеров S3, прежде чем запустить шифровальщик.

Как отмечают в Symantec, большинство инструментов китайских APT не являются общедоступными, а значит инсайдер, имеющий к ним доступ, вероятно, использовал их для атаки с целью вымогательства.

Причем атака с использованием программы-вымогателя, вероятно, совершалась одним лицом, желающим подзаработать к пенсии, используя инструментарий своего работодателя.

Безусловно, нельзя исключать использования ransomware в качестве приманки для рядовой операции, но Synantec полагает, что цель не имела стратегического значения.

Злоумышленнику не удалось эффективно замести следы. Хакер, по-видимому, был заинтересован в получении оплаты, потратив время на переписку с жертвой.

Symantec также отмечает, что для китайских групп нетипично участие в операциях по вымогательству, это больше характерно для северокорейцев.

Кроме того, основываясь на детектировании прокси-инструмента под названием NPS, злоумышленник мог быть связан с APT Bronze Starlight (aka Emperor Dragonfly), которая ранее была замечена в использовании вымогателей в качестве приманки.

В общем, выкуп получить, очевидно, не удалось, так что при любом раскладе: это залет, боец!

BY SecAtor