Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Эксперты Symantec связали крупную шпионскую кампанию с китайскими хакерами Cicada

06/04/22

sinohack-Apr-06-2022-11-21-15-00-AMИсследователи в области кибербезопасности из команды Symantec Threat Hunter Team связали крупную шпионскую кампанию с китайской APT-группировкой Cicada (также известной как APT10, Stone Panda, Potassium, Bronze Riverside и команда MenuPass). Кибератаки начались в середине 2021 года и продолжались до февраля 2022 года.

«Жертвами кампании Cicada стали правительственные, юридические, религиозные и неправительственные организации во многих странах мира, в том числе в Европе, Азии и Северной Америке», — сообщили специалисты.

Большинство атакованных организаций расположены в США, Канаде, Гонконге, Турции, Израиле, Индии, Черногории и Италии, наряду с одной жертвой в Японии. Как отметили эксперты, в некоторых случаях хакеры находились в сетях жертв на протяжении девяти месяцев.

В марте 2021 года исследователи из «Лаборатории Касперского» раскрыли операцию по сбору информации, предпринятую группировкой для установки имплантатов в ряде отраслей промышленности, расположенных в Японии. Затем в феврале нынешнего года APT была замешана в организованной атаке на цепочку поставок финансового сектора Тайваня с целью кражи конфиденциальной информации из скомпрометированных систем.

Новая серия атак, зафиксированная Symantec, начинается с получения первоначального доступа с помощью неисправленной уязвимости в серверах Microsoft Exchange. Ее эксплуатация позволяет киберпреступникам установить бэкдор SodaMaster. SodaMaster — троян для удаленного доступа для Windows-систем, способный похищать полезные данные и передавать их обратно на командный сервер.

Другие инструменты преступников включают утилиту дампа учетных данных Mimikatz, инструмент NBTScan для проведения внутренней разведки, WMIExec для удаленного выполнения команд и VLC Media Player для запуска пользовательского загрузчика на зараженном хосте.

Темы:КитайПреступленияAPT-группыSymantec
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...