Контакты
Подписка 2024
Защищенный Linux
23 мая. Инструменты миграции на защищенный Linux
Регистрируйтесь на онлайн-конференцию!

Новая киберугроза крадёт данные китайских госструктур

02/11/23

hack97-Nov-02-2023-09-12-03-6596-AM

В последние месяцы в информационном пространстве Китая наблюдается усиление активности кибератак, направленных на критически важные объекты инфраструктуры. Одним из наиболее тревожных явлений стало открытие экспертами из команды Fuying Lab новой серии APT-атак группировки Shuangyirat. За последние 6 месяцев злоумышленники осуществили сложноорганизованные кибератаки, демонстрируя высокий уровень хакерских навыков и способность к значительному ущербу, пишет Securitylab.

Fuying Lab обнаружила использование киберпреступниками уникальных инструментов, что позволило идентифицировать кампанию как Double XOR Rat. Название произошло от характерного метода шифрования связи, который использует двойное применение XOR-шифрования в процессе коммуникации.

Основными целями Double XOR Rat стали ведущие государственные предприятия, научно-исследовательские институты и правительственные учреждения. Группа отличается тем, что получает доступ к системам с помощью уязвимостей для контроля за большим числом публичных сетевых устройств и последующим детальном сканировании внутренних сетей, чтобы определить ценность каждой скомпрометированной цели.

По данным Fuying Lab, атаки группы можно классифицировать на три основных типа, каждый из которых приспособлен под уникальные характеристики атакуемых систем.

Первый тип атаки

Основан на эксплуатации уязвимостей в устройствах безопасности, доступных через интернет, для получения первоначального доступа в систему. После успешного взлома на захваченных устройствах активируется HTTP-сервер на Python для загрузки дополнительного вредоносного кода, тем самым расширяя контроль над системой.

Специалисты описывают первый тип атаки как разведывательную операцию, в которой используются инструменты сканирования NetBIOS для идентификации хостов Windows внутри сети. В зависимости от архитектуры процессора целевых устройств, применяются сканеры NBTscan или Nextnet, позволяя оценить потенциал целевого домена.

Второй тип атаки

Характеризуется как операция мониторинга с использованием трояна собственной разработки группы. Метод активируется на устройствах, представляющие бОльшую ценность для хакеров. Вредоносное ПО обеспечивает долговременную связь со взломанной системой, позволяя злоумышленникам отслеживать состояние устройств и выполнять команды.

Третий тип атаки

Он наиболее специализированный и применяется только в случаях, когда в домене жертвы находятся ресурсы почтового сервиса. После проникновения в почтовые серверы, киберпреступники используют их для распространения фишинговых писем, при этом эффективность таких атак была значительно выше из-за использования серверов, внесенных в белые списки.

Следователи предупреждают, что кампания Double XOR Rat продолжает быть активной угрозой, и призывают компании усилить меры по кибербезопасности, включая своевременное обновление ПО и повышение осведомленности персонала в области киберугроз.

Темы:КитайПреступленияКИИгосударственные кибератакиFuying Lab
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • Решения для криптографической защиты сетевого взаимодействия объектов КИИ на базе платформы m-TrusT
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Специализированный компьютер с аппаратной защитой данных m-TrusT выпускается серийно и предоставляется вендорам СКЗИ для сертификации своих СКЗИ
  • Мантра о неизвлекаемом ключе. Криптографическая защита в КИИ
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Остановимся на одном, на первый взгляд самоочевидном, требовании регулятора к СКЗИ высокого класса – неизвлекаемом ключе. Казалось бы, эта тема должна быть раскрыта в современных СКЗИ в полной мере, однако в ней есть важные для применения в КИИ особенности.
  • Проблемы импортозамещения компонентов объектов КИИ в 2024 году
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В ноябре 2023 года практически завершилось формирование нормативно-правовой базы в части импортозамещения компонентов объектов КИИ.
  • Обзор изменений в ИБ-законодательстве. Сентябрь, октябрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Перечень НПА для оценки применения по ПДн. Требования по защите информации для провайдеров хостинга. Проекты стандартов по КИИ.  Сертификация безопасной разработки ПО для изготовителей СрЗИ. Изменения в порядке ведения реестра значимых объектов КИИ. 
  • Подходы и проблематика моделирования угроз для объектов КИИ
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Необходимость анализа угроз для ОКИИ обусловлена как требованиями законодательства, так и практической значимостью для построения системы безопасности.
  • Обзор изменений в законодательстве в июле и августе 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Новые субъекты КИИ,  индикаторы риска нарушения требований при обработке ПДн, сертификация МЭ уровня сети и СУБД, импортозамещение в финансовой сфере, рекомендации Роскомнадзора, защита цифрового рубля, изменения в закон об ЭП

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...