Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Timitator атакует критическую инфраструктуру Китая

14/05/24

sinohack-May-14-2024-10-56-25-1546-AM

В период с 2022 по 2023 год группировка киберзлоумышленников Timitator (战术模仿者) активно атаковала китайские энергетические, научные и военные учреждения. Атаки проводились с использованием фишинга и других методов, направленных на компрометацию целевых систем.

Группа Timitator использовала различные форматы вредоносных файлов, такие как «.exe», «.chm», «.iso» и «.lnk». После успешного запуска инфицированных файлов, на первом этапе загружался CobaltStrike для установления стабильного соединения, а затем через него загружался кастомный вредоносный код, позволяющий провести оценку сети и разработать индивидуальные планы атак для каждого заражённого устройства, пишет Securitylab.

Недавно лаборатория Xunxinfo зафиксировала новую партию фишинговых экземпляров вредоносного софта от Timitator. В них вместо CobaltStrike использовался инструмент удалённого управления, написанный на языке Rust. Некоторые из этих файлов были снабжены фальшивыми подписями Microsoft и описаниями, маскирующими их под легитимное программное обеспечение.

Группировка Timitator на постоянной основе использует технику DLL Sideloading, сочетая легитимные программы с вредоносными библиотеками. Например, вместе с системой контроля температуры NitroSense использовалась зловредная библиотека WTSAPI32.dll, а с антивирусом Bitdefender — Log.dll. Эти вредоносные библиотеки были защищены оболочкой VMP, но из-за отсутствия легитимной подписи их эффективность против антивирусов была снижена.

В ходе анализа было установлено, что первый этап загрузки шелл-кода совпадает с образцами, ранее приписываемыми другой хакерской группе — OceanLotus. Это свидетельствует о возможной взаимосвязи между Timitator и OceanLotus.

Тем временем, Timitator продолжает активно атаковать ключевые китайские учреждения, адаптируя свои методы и инструменты для обхода современных систем защиты. Использование новых инструментов на базе Rust, а также подделка подписей свидетельствуют о высокой степени подготовленности и изобретательности злоумышленников.

Темы:КитайКИИПреступленияфишинг
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • "Ассистент": безопасное решение для удаленного доступа на промышленных предприятиях
    Оксана Шабанова, генеральный директор ООО “САФИБ”
    "Ассистент" – кросс-платформенное решение, поддерживающее работу на большинстве операционных систем семейства Windows, Linux, Android, macOS. Проведены испытания, подтверждающие совместимость "Ассистент" с российскими операционными системами, в том числе сертифицированными ФСТЭК России
  • Облако перспектив для объектов критической инфраструктуры
    Алексей Кубарев, директор по информационной безопасности Т1 Облако
    В последние годы на отечественном ИТ-рынке прослеживаются два основных тренда, развитие которых привело к размещению ОКИИ в облаках. Поговорим подробнее о том, в чем выгода такого подхода и как не допустить ошибок в процессе.
  • Комплексная защита КИИ на производственном объекте
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    создание эффективной системы защиты объектов КИИ является многоэтапным процессом, включающим в себя определение объектов защиты, аудит текущего состояния, проектирование, внедрение средств защиты и их ввод в эксплуатацию
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Межсетевой экран UserGate X1 для защиты АСУ ТП и IIoT
    Иван Чернов, Менеджер партнерского отдела UserGate
    Комплексное решение для защиты промышленных объектов от атак

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...