02/11/23
В последние месяцы в информационном пространстве Китая наблюдается усиление активности кибератак, направленных на критически важные объекты инфраструктуры. Одним из наиболее тревожных явлений стало открытие экспертами из команды Fuying Lab новой серии APT-атак группировки Shuangyirat. За последние 6 месяцев злоумышленники осуществили сложноорганизованные кибератаки, демонстрируя высокий уровень хакерских навыков и способность к значительному ущербу, пишет Securitylab.
Fuying Lab обнаружила использование киберпреступниками уникальных инструментов, что позволило идентифицировать кампанию как Double XOR Rat. Название произошло от характерного метода шифрования связи, который использует двойное применение XOR-шифрования в процессе коммуникации.
Основными целями Double XOR Rat стали ведущие государственные предприятия, научно-исследовательские институты и правительственные учреждения. Группа отличается тем, что получает доступ к системам с помощью уязвимостей для контроля за большим числом публичных сетевых устройств и последующим детальном сканировании внутренних сетей, чтобы определить ценность каждой скомпрометированной цели.
По данным Fuying Lab, атаки группы можно классифицировать на три основных типа, каждый из которых приспособлен под уникальные характеристики атакуемых систем.
Первый тип атаки
Основан на эксплуатации уязвимостей в устройствах безопасности, доступных через интернет, для получения первоначального доступа в систему. После успешного взлома на захваченных устройствах активируется HTTP-сервер на Python для загрузки дополнительного вредоносного кода, тем самым расширяя контроль над системой.
Специалисты описывают первый тип атаки как разведывательную операцию, в которой используются инструменты сканирования NetBIOS для идентификации хостов Windows внутри сети. В зависимости от архитектуры процессора целевых устройств, применяются сканеры NBTscan или Nextnet, позволяя оценить потенциал целевого домена.
Второй тип атаки
Характеризуется как операция мониторинга с использованием трояна собственной разработки группы. Метод активируется на устройствах, представляющие бОльшую ценность для хакеров. Вредоносное ПО обеспечивает долговременную связь со взломанной системой, позволяя злоумышленникам отслеживать состояние устройств и выполнять команды.
Третий тип атаки
Он наиболее специализированный и применяется только в случаях, когда в домене жертвы находятся ресурсы почтового сервиса. После проникновения в почтовые серверы, киберпреступники используют их для распространения фишинговых писем, при этом эффективность таких атак была значительно выше из-за использования серверов, внесенных в белые списки.
Следователи предупреждают, что кампания Double XOR Rat продолжает быть активной угрозой, и призывают компании усилить меры по кибербезопасности, включая своевременное обновление ПО и повышение осведомленности персонала в области киберугроз.
