Контакты
Подписка 2024
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита инфраструктуры и данных от современных угроз
Регистрируйтесь на онлайн-конференцию!

QiAnXin  раскрыли долгосрочную кибершпионскую операцию против научных и образовательных учреждений по всему миру

07/06/24

hack66-Jun-07-2024-08-50-01-7854-AM

Основной подозреваемый — хакерская группа UTG-Q-008, которая специализируется на атаках на Linux-платформы, используя обширную ботнет-сеть.

За год интенсивного мониторинга удалось выявить доказательства использования UTG-Q-008 ресурсов ботнет-сети для кражи данных из научных и образовательных учреждений. Примерно 70% инфраструктуры этой группы составляют промежуточные серверы, которые меняются при каждой новой атаке, пишет Securitylab.

Атаки UTG-Q-008 отличаются высокой интенсивностью и использованием доменов, активных на протяжении последних десяти лет, что делает их более устойчивыми по сравнению с другими известными APT-группами.

UTG-Q-008 использует множество списков атакуемых объектов, один из которых включает более пяти тысяч сетевых сегментов внутри Китая.

Большинство контролируемых узлов находятся в Китае, а сразу за ним следует США. Серверы хакеров часто хранят компоненты для атаки в TAR-формате, используя промежуточные серверы для загрузки и хранения данных. Один из доменов, используемых для атак, зарегистрирован в Китае и действует уже 14 лет.

Для получения доступа к серверам UTG-Q-008 использует компоненты Nanobot, загружаемые через wget или Curl с промежуточных серверов. Эти компоненты позволяют хакерам запускать обратные shell-сессии или SSH-туннели для загрузки дополнительных модулей.

UTG-Q-008 применяет различные типы внутренних сканеров для проверки открытых портов в сетях. После завершения сканирования они передают результаты для дальнейшего перемещения по сети.

Процесс перемещения включает два этапа: сканирование SSH-портов на серверах и использование слабых паролей для доступа. Хакеры используют специальную базу паролей, включающую более 4000 учётных данных, собранных за годы атак.

При необходимости входа в сеть, атакующие используют FRP обратные прокси-серверы, которые позволяют использовать внешние вычислительные мощности ботнет-сети для взлома важных внутренних серверов.

Достигнув значительного уровня проникновения, UTG-Q-008 устанавливает на ключевых серверах модули для кражи данных. Эти модули анализируют различные файлы и журналы системы, извлекая из них конфиденциальную информацию.

На серверах с мощными графическими картами, хакеры устанавливают компоненты для майнинга криптовалют, что помогает скрыть их основные цели и затруднить расследование.

За последние три года было зафиксировано более 1500 пострадавших IP-адресов, среди которых образовательные сети Китая (CER) занимают значительную долю. Среди пострадавших также есть зарубежные университеты, исследовательские институты и компании в сфере информационных технологий.

Темы:LinuxПреступленияAPT-группыОбразованиеQi An Xin
NGFW
24 июля. Отечественные ИT-платформы и ПО для объектов КИИ: готовность предприятий к 01 января 2025
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...