04.08.2024 | ShadowPad и Cobalt Strike: смертельное сочетание для организаций Тайваня |
Исследовательский институт на Тайване, связанный с правительством, стал жертвой кибератаки, выявленной компанией Cisco Talos . Атака, произошедшая в июле 2023 года, привела к заражению систем института вредоносным ПО ShadowPad и Cobalt Strike . Специалисты связывают эту кампанию с хакерской группировкой APT41, которая, по мнению американских властей, имеет связи с Китаем. Cisco Talos обнаружила аномальные команды PowerShell , подключающиеся к IP-адресу для загрузки и выполнения скриптов. Вредоносное ПО ShadowPad использовало уязвимую версию Microsoft Office IME для запуска своего загрузчика. APT41 также создала специальный загрузчик для эксплуатации уязвимости CVE-2018-0824, позволяющей получить локальное повышение привилегий. Исследователи отмечают, что использованные методы и инструменты соответствуют характерным для APT41, включая применение ShadowPad, Bitdefender и FileZilla. Несмотря на то, что окончательный вредоносный код ShadowPad не был найден, известно, что ShadowPad используется исключительно китайскими хакерскими группами. Cobalt Strike, обнаруженный в ходе атаки, был разработан с использованием загрузчика CS-Avoid-Killing, нацеленного на избежание обнаружения антивирусами. Загрузчик написан на языке Go и содержит строки на упрощённом китайском языке, что подтверждает причастность китайских хакеров. В ходе атаки злоумышленники скомпрометировали три хоста в целевой сети и смогли выгрузить ценные документы. Хакеры устанавливали веб-оболочки, использовали RDP и обратные оболочки для распространения вредоносного ПО. APT41 также использовала инструменты для сбора паролей, включая Mimikatz и WebBrowserPassView. Хакеры выполняли команды для получения информации о пользователях, структуре директорий и сетевых конфигурациях. Для эксфильтрации данных преступники сжимали и шифровали файлы с помощью 7zip, а затем отправляли их на командный сервер. В ходе анализа кампании были обнаружены два типа загрузчиков ShadowPad. Первый использовал старую версию Microsoft Office IME, второй был разработан с использованием уязвимой библиотеки Bitdefender. Оба типа загрузчиков использовали легитимные бинарные файлы для запуска вредоносного кода. В ходе расследования были найдены интересные инструменты, использованные хакерами, включая UnmarshalPwn для эксплуатации CVE-2018-0824. Были выявлены и другие компоненты инфраструктуры, использованные в разных кампаниях той же группой хакеров. Усложнение методов и инструментов, применяемых группировкой APT41, сигнализирует о растущей угрозе для организаций во всем мире. Этот инцидент подчёркивает критическую необходимость для компаний и учреждений постоянно совершенствовать свои системы кибербезопасности, регулярно обновлять программное обеспечение и проводить аудит уязвимостей. |
Проверить безопасность сайта