Čínští hackeři útočí na vojenské organizace pomocí nového backdooru!

Útočníci, u nichž existuje podezření, že mají vazby na Čínu, stojí podle nového výzkumu za rozsáhlou kybernetickou špionážní kampaní zaměřenou na vojenské organizace v jihovýchodní Asii.

V souvislosti s Čínskou lidovou osvobozeneckou armádou (PLA) před více než půl dekádou byla odhalena pokročilá trvalá hrozba Naikon (APT), která vedla pětiletou tajnou kampaň proti cílům v Austrálii, Indonésii, Filipínách, Vietnamu, Thajsku, Myanmaru a Brunej. Je známo, že se skupina zaměřuje na vládní a vojenské organizace.

Účelem útoků zůstává špionáž a exfiltrace dat a skupina se nadále zaměřuje na cíle jihovýchodní Asie. Nejnovější kampaň probíhala mezi červnem 2019 a březnem 2021. Účastnil se jí jeden z nových backdoorů, nazvaný „RainyDay“, který byl, podle společnosti Bitdefender, poprvé využitý při útocích v září 2020. Aby APT zůstal nezjištěný, napodoboval legitimní software spuštěný na infikovaných počítačích.

Na začátku operace použili útočníci jako první fázi útoku payload Aria-Body a Nebulae. Počínaje zářím 2020 zahrnovali do svých nástrojů i zadní vrátka RainyDay. Loni v květnu, kdy byla obnovena další aktivita pomocí nového backdooru s názvem „Aria-Body“, kterým se útočníci dostávali tajně do sítí a využili napadenou infrastrukturu jako command-and-control (C2) server k zahájení dalších útoků proti jiným organizacím.

Nová vlna útoků, kterou identifikoval Bitdefender, využívala RainyDay jako primární zadní vrátka, přičemž aktéři ji využívali k provádění průzkumu, nahrávání dalších využitelných payloadů, provádění lateral movementu po síti a exfiltraci citlivých informací. Backdoor byl spuštěn pomocí techniky známé jako side-loading DLL, která odkazuje na osvědčenou metodu načítání škodlivých DLL ve snaze unést tok provádění legitimního programu (hijack the execution flow), jako je Outlook Item Finder.

Jako záložní strategii malware také nainstaloval druhý payload s názvem Nebulae, který shromažďuje informace o systému, provádí operace se soubory a stahuje a nahrává libovolné soubory ze serveru C2 a na něj. „Druhá zadní vrátka se údajně používají jako preventivní opatření, aby nedošlo ke ztrátě perzistence v případě zjištění jakýchkoli příznaků infekce.

Mezi další nástroje nasazené backdoorem RainyDay patří sběrač souborů, který zachytí nedávno změněné soubory se specifickými příponami a nahraje je do Dropboxu, nástroje pro získávání pověření a různých síťových nástrojů, jako jsou skenery a proxy NetBIOS.

Infection chain:

Další popis je například zde:

https://www.bitdefender.com/files/News/CaseStudies/study/396/Bitdefender-PR-Whitepaper-NAIKON-creat5397-en-EN.pdf

https://research.checkpoint.com/2020/naikon-apt-cyber-espionage-reloaded/

Další články z blogu

8. 11. 2023
Hacker Fest 2023

7. listopadu se konal již několikátý ročník skvělé akce GOPASu, na které bylo velmi zajímavé obsazení přednášejících i témat, které...

Přečíst
20. 9. 2023
Náš etický hacker přednášel na konferenci Kybernetická bezpečnost 2023

13. září se v prostorách budovy NWT ve Zlíně konala odborná konference Kybernetická bezpečnost - řízení procesů a aplikace moderních...

Přečíst
11. 9. 2023
 Chráníte vaše firemní mobilní zařízení? Buďte o krok napřed s GravityZone Security for Mobile

 E-maily jsou nejčastějším cílem phishingových útoků. Více než 60 % e-mailů je otevřeno na mobilních zařízeních. V mžiku můžete přijít...

Přečíst
(c) 2023 ICT NWT s.r.o.
menu-circlecross-circle
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram