Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Группировка атаковала четыре организации критически важной инфраструктуры в Юго-Восточной Азии

09/08/21

hack71-Aug-09-2021-08-58-31-92-AMКиберпреступная группировка, предположительно связанная с Китаем, атаковала четыре организации критически важной инфраструктуры в Юго-Восточной Азии. По словам ИБ-экспертов из Symantec, злоумышленники могут быть заинтересованы в автоматизированных системах управления технологическим процессом (АСУ ТП).

Как утверждают эксперты, вредоносная кампания началась предположительно в ноябре 2020 года и продолжалась как минимум до марта 2021 года. Главной целью злоумышленников был сбор разведданных. IP-адреса, вредоносное ПО, использованное в атаках, а также характер и местонахождение жертв указывают на то, что все четыре организации были целью одной и той же группировки. Хакеры напали на компанию водоснабжения, энергетическую компанию, коммуникационную компанию и оборонную организацию.

В ходе атаки, направленной на компанию водоснабжения, злоумышленники получили доступ к устройству, участвующему в разработке систем диспетчерского управления и сбора данных (SCADA). В случае с энергетической компанией одно зараженное устройство использовалось для инженерного проектирования.

Для достижения своих целей группировка использовала несколько легитимных инструментов, включая Windows Management Instrumentation (WMI), ProcDump, PsExec, PAExec и Mimikatz. Они также использовали бесплатные мультимедийные проигрыватели для перехвата DLL-библиотек и, возможно, легитимный плагин Internet Explorer под названием Google Chrome Frame. Кроме того, в атаках использовались кейлоггер, бэкдор и загрузчик. Эти инструменты позволяли злоумышленникам красть учетные данные и другую информацию, а также перемещаться в пределах сети.

Темы:КитайКИИПреступленияSymantec
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...