Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Скрытные хакеры Grayling наносят киберудар по тайваньским учреждениям

12/10/23

hack54-Oct-12-2023-09-14-36-4220-AM

Неизвестная до этого момента хакерская группировка стоит за рядом атак, нацеленных на организации в области производства, IT и биомедицины на Тайване.

Команда исследователей из Symantec отнесла эти атаки к APT-группе под названием Grayling. Согласно данным специалистов, вредоносная кампания началась в феврале этого года и продолжалась по крайней мере до мая, пишут в Securitylab.

Вероятными целями в рамках этой деятельности, помимо тайваньских организаций, также стали правительственные учреждения, расположенные на островах Тихого океана, а также организации во Вьетнаме и США.

Особенностью данной активности стало использование хакерами Grayling уникальной техники DLL Sideloading, использующей кастомный дешифратор для развёртывания полезных нагрузок. «Мотивацией, стимулирующей эту деятельность, по-видимому, является сбор разведданных», — отмечается в отчёте Symantec.

В качестве начальной точки взлома исследователи упоминают эксплуатацию общедоступной инфраструктуры с последующим развёртыванием веб-оболочек для постоянного доступа.

Цепочки атаки активно используют технику DLL Sideloading через SbieDll_Hook для последующего применения таких инструментов, как Cobalt Strike, NetSpy и Havoc Framework, а также дополнительных инструментов вроде Mimikatz.

DLL Sideloading — это популярный метод, используемый различными участниками угроз для обхода решений безопасности и обмана операционной системы Windows с целью выполнения вредоносного кода на целевой конечной точке.

«Получив первоначальный доступ к компьютерам жертв, злоумышленники предпринимают различные действия, включая повышение привилегий, сканирование сети и использование загрузчиков», — заявили в Symantec.

Стоит отметить, что использование DLL Sideloading в отношении SbieDll_Hook и SandboxieBITS.exe ранее наблюдалось в случае с APT-группой Naikon при атаках на военные организации в Юго-Восточной Азии. Однако между Grayling и Naikon пересечений специалистами обнаружено не было.

На сегодняшний день нет никаких доказательств того, что хакеры Grayling обменяли или продали полученную в ходе своей операции информацию. Эксперты предполагают, что мотивы группировки больше направлены на сбор разведданных.

Использование общедоступных инструментов рассматривается исследователями как попытка усложнить процесс определения источника атак, в то время как завершение системных процессов указывает на то, что уклонение от обнаружения является приоритетом этих киберпреступников, чтобы оставаться незамеченными в течение как можно более длительного периода времени.

«Интенсивная направленность на тайваньские организации указывает на то, что Grayling, вероятно, действуют из региона со стратегическим интересом к Тайваню», — добавили в компании Symantec.

Темы:ПреступленияAPT-группыSymantecгосударственные кибератаки
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...