Китайские кибершпионы «одолжили» техники у русских
Специалисты компании Recorded Future сообщили о недавних атаках на одну из инженерных компаний в Великобритании. Несмотря на использование техник из арсенала «русских хакеров», по мнению исследователей, за инцидентом стоит кибершпионская группировка из Китая.
Речь идет о китайской группировке TEMP.Periscope, также известной как Leviathan. TEMP.Periscope активна уже пять лет и ранее была замечена в атаках на предприятия морской и оборонной промышленности.
В июле нынешнего года группировка попыталась атаковать сотрудников британской инженерной компании с помощью целенаправленного фишинга. В рамках вредоносной кампании злоумышленники также атаковали электронный адрес, предположительно принадлежащий независимому камбоджийскому журналисту, специализирующемуся на вопросах политики, прав человека и развития Китая.
Все атаки осуществлялись через инфраструктуру, ранее используемую TEMP.Periscope. Похоже, злоумышленники повторно использовали тактики, техники и процедуры (TTP) из арсенала Dragonfly и APT28 – группировок, связываемых ИБ-экспертами с российским правительством. Их целью было получение доступа к проприетарным технологиям и конфиденциальным данным.
По словам исследователей, в качестве C&C-сервера преступники использовали домен scsnewstoday[.]com, тот же самый, что использовался в атаках TEMP.Periscope на правительство Камбоджи. Кроме того, фишинговые письма отправлялись с китайского почтового клиента Foxmail. Тем не менее, для получения учетных данных SMB применялась уникальная техника из арсенала Dragonfly. Для атаки вида NBT-NS Poisoning злоумышленники использовали инструмент с открытым исходным кодом Responder.
Согласно отчету Recorded Future, 6 июля нынешнего года киберпреступники отправили британской инженерной компании фишинговые письма с двумя вредоносными ссылками. Первая была «file://» и предназначалась для установления SMB-сеанса, а вторая вела на файл URL для установления исходящего SMB-подключения.
Сообщение было отправлено якобы от лица камбоджийского журналиста, запрашивавшего информацию. Тем не менее, грамматические и пунктуационные ошибки вызвали подозрение у сотрудников атакуемой компании.
Поскольку в атаках использовались TTP как Dragonfly, так и TEMP.Periscope, существует несколько возможных сценариев. Первый – китайцы «одолжили» TTP у Dragonfly. Второй – Dragonfly воспользовались TTP китайцев, и третий – кто-то еще, пока неизвестный, использовал в атаках TTP известных группировок.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш