Эксперты связали крупную шпионскую кампанию с китайскими хакерами Cicada

Исследователи в области кибербезопасности из команды Symantec Threat Hunter Team связали крупную шпионскую кампанию с китайской APT-группировкой Cicada (также известной как APT10, Stone Panda, Potassium, Bronze Riverside и команда MenuPass). Кибератаки начались в середине 2021 года и продолжались до февраля 2022 года.

«Жертвами кампании Cicada стали правительственные, юридические, религиозные и неправительственные организации во многих странах мира, в том числе в Европе, Азии и Северной Америке», — сообщили специалисты.

Большинство атакованных организаций расположены в США, Канаде, Гонконге, Турции, Израиле, Индии, Черногории и Италии, наряду с одной жертвой в Японии. Как отметили эксперты, в некоторых случаях хакеры находились в сетях жертв на протяжении девяти месяцев.

В марте 2021 года исследователи из «Лаборатории Касперского» раскрыли операцию по сбору информации, предпринятую группировкой для установки имплантатов в ряде отраслей промышленности, расположенных в Японии. Затем в феврале нынешнего года APT была замешана в организованной атаке на цепочку поставок финансового сектора Тайваня с целью кражи конфиденциальной информации из скомпрометированных систем.

Новая серия атак, зафиксированная Symantec, начинается с получения первоначального доступа с помощью неисправленной уязвимости в серверах Microsoft Exchange. Ее эксплуатация позволяет киберпреступникам установить бэкдор SodaMaster. SodaMaster — троян для удаленного доступа для Windows-систем, способный похищать полезные данные и передавать их обратно на командный сервер.

Другие инструменты преступников включают утилиту дампа учетных данных Mimikatz, инструмент NBTScan для проведения внутренней разведки, WMIExec для удаленного выполнения команд и VLC Media Player для запуска пользовательского загрузчика на зараженном хосте.