Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Новая киберугроза крадёт данные китайских госструктур

02/11/23

hack97-Nov-02-2023-09-12-03-6596-AM

В последние месяцы в информационном пространстве Китая наблюдается усиление активности кибератак, направленных на критически важные объекты инфраструктуры. Одним из наиболее тревожных явлений стало открытие экспертами из команды Fuying Lab новой серии APT-атак группировки Shuangyirat. За последние 6 месяцев злоумышленники осуществили сложноорганизованные кибератаки, демонстрируя высокий уровень хакерских навыков и способность к значительному ущербу, пишет Securitylab.

Fuying Lab обнаружила использование киберпреступниками уникальных инструментов, что позволило идентифицировать кампанию как Double XOR Rat. Название произошло от характерного метода шифрования связи, который использует двойное применение XOR-шифрования в процессе коммуникации.

Основными целями Double XOR Rat стали ведущие государственные предприятия, научно-исследовательские институты и правительственные учреждения. Группа отличается тем, что получает доступ к системам с помощью уязвимостей для контроля за большим числом публичных сетевых устройств и последующим детальном сканировании внутренних сетей, чтобы определить ценность каждой скомпрометированной цели.

По данным Fuying Lab, атаки группы можно классифицировать на три основных типа, каждый из которых приспособлен под уникальные характеристики атакуемых систем.

Первый тип атаки

Основан на эксплуатации уязвимостей в устройствах безопасности, доступных через интернет, для получения первоначального доступа в систему. После успешного взлома на захваченных устройствах активируется HTTP-сервер на Python для загрузки дополнительного вредоносного кода, тем самым расширяя контроль над системой.

Специалисты описывают первый тип атаки как разведывательную операцию, в которой используются инструменты сканирования NetBIOS для идентификации хостов Windows внутри сети. В зависимости от архитектуры процессора целевых устройств, применяются сканеры NBTscan или Nextnet, позволяя оценить потенциал целевого домена.

Второй тип атаки

Характеризуется как операция мониторинга с использованием трояна собственной разработки группы. Метод активируется на устройствах, представляющие бОльшую ценность для хакеров. Вредоносное ПО обеспечивает долговременную связь со взломанной системой, позволяя злоумышленникам отслеживать состояние устройств и выполнять команды.

Третий тип атаки

Он наиболее специализированный и применяется только в случаях, когда в домене жертвы находятся ресурсы почтового сервиса. После проникновения в почтовые серверы, киберпреступники используют их для распространения фишинговых писем, при этом эффективность таких атак была значительно выше из-за использования серверов, внесенных в белые списки.

Следователи предупреждают, что кампания Double XOR Rat продолжает быть активной угрозой, и призывают компании усилить меры по кибербезопасности, включая своевременное обновление ПО и повышение осведомленности персонала в области киберугроз.

Темы:КитайПреступленияКибератакиКИИFuying Lab
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...