O organizație mare din SUA, cu o prezență semnificativă în China, a fost raportat că a fost afectată de actori de amenințare cu sediul în China care au persistat pe rețelele sale între aprilie și august 2024.
Potrivit cercetătorilor de amenințări de la Symantec, operațiunea pare să se fi concentrat pe colectarea de informații, implicând mai multe mașini compromise și vizând Servere de Exchange, probabil pentru e-mailuri și exfiltrare de date.
Cercetătorii nu au numit explicit organizația din SUA afectată, dar au menționat că aceeași entitate a fost vizată de grupul de amenințare ‘Daggerfly’ cu sediul în China în 2023.
Deși intruziunea ar fi putut începe mai devreme, vizibilitatea Symantec asupra incidentului a început pe 11 aprilie 2024, când comenzi suspecte Windows Management Instrumentation (WMI) și dump-uri de registru au fost executate.
Vectorul inițial de infectare rămâne necunoscut, dar Symantec a putut observa executarea PowerShell pentru a interoga Active Directory pentru nume de principale de servicii (SPN-uri) și tokenuri Kerberos, o tehnică cunoscută sub numele de ‘Kerberoasting’.
La 2 iunie, actorii de amenințare s-au pivotat către o a doua mașină și au folosit un component FileZilla redenumit (putty.exe), probabil pentru exfiltrarea de date, care a fost ulterior facilitată de PowerShell, WinRAR și un client PSCP.
Pe acea mașină, actorii de amenințare au folosit fișierele ‘ibnettle-6.dll’ și ‘textinputhost.dat’ pentru persistență, care au fost văzute anterior (de Sophos și RecordedFuture) în atacuri efectuate de grupul de amenințare chinez ‘Crimson Palace’.
În jurul aceluiași timp, atacatorii au infectat încă două mașini în care și-au asigurat persistența prin manipularea registrelor și pe care le-au folosit pentru supraveghere și mișcare laterală.
Pe acestea, hackerii au folosit WMI pentru a interoga jurnalele de evenimente Windows pentru logări și blocări de conturi, PowerShell pentru testarea conectivității rețelei precum RPC pe portul 135 și PDR pe portul 3389 și PsExec pentru a interoga grupurile de domeniu, inclusiv serverele Exchange.
În cele din urmă, la 13 iunie, o a cincea mașină din organizație a fost compromisă, unde atacatorii au lansat ‘iTunesHelper.exe’ pentru a încărca un DLL malicios (‘CoreFoundation.dll’) pentru executarea sarcinii.
Un aspect interesant al atacului este că hackerii au atribuit roluri distincte în fiecare dintre mașinile afectate și au urmat o abordare structurată care le-a permis să persiste și să colecteze informații sistematic.
Atribuirea pe baza activității anterioare împotriva organizației vizate și a fișierelor este slabă.
Cu toate acestea, Symantec remarcă și utilizarea extensivă a uneltelor „living off the land” precum PsExec, PowerShell, WMI și unelte open-source precum FileZilla, Impacket și PuTTY SSH care se aliniază cu tacticile hackerilor chinezi.
Guvernul SUA afirmă că hackerii chinezi au afectat mai mulți furnizori de telecomunicații
Hackerii Salt Typhoon backdoor telco-urile cu noul malware GhostSpider
Hackerii ruși preiau serverele hackerilor pakistanezi pentru propriile atacuri
T-Mobile confirmă că a fost hăcuită în valul recent de încălcări de securitate din telecomunicații
Comunicațiile oficialilor guvernamentali americani compromise în recentul hack al telecomunicațiilor
Leave a Reply