Čínští hackeři útočí na vojenské organizace pomocí nového backdooru!

Útočníci, u nichž existuje podezření, že mají vazby na Čínu, stojí podle nového výzkumu za rozsáhlou kybernetickou špionážní kampaní zaměřenou na vojenské organizace v jihovýchodní Asii.

V souvislosti s Čínskou lidovou osvobozeneckou armádou (PLA) před více než půl dekádou byla odhalena pokročilá trvalá hrozba Naikon (APT), která vedla pětiletou tajnou kampaň proti cílům v Austrálii, Indonésii, Filipínách, Vietnamu, Thajsku, Myanmaru a Brunej. Je známo, že se skupina zaměřuje na vládní a vojenské organizace.

Účelem útoků zůstává špionáž a exfiltrace dat a skupina se nadále zaměřuje na cíle jihovýchodní Asie. Nejnovější kampaň probíhala mezi červnem 2019 a březnem 2021. Účastnil se jí jeden z nových backdoorů, nazvaný „RainyDay“, který byl, podle společnosti Bitdefender, poprvé využitý při útocích v září 2020. Aby APT zůstal nezjištěný, napodoboval legitimní software spuštěný na infikovaných počítačích.

Na začátku operace použili útočníci jako první fázi útoku payload Aria-Body a Nebulae. Počínaje zářím 2020 zahrnovali do svých nástrojů i zadní vrátka RainyDay. Loni v květnu, kdy byla obnovena další aktivita pomocí nového backdooru s názvem „Aria-Body“, kterým se útočníci dostávali tajně do sítí a využili napadenou infrastrukturu jako command-and-control (C2) server k zahájení dalších útoků proti jiným organizacím.

Nová vlna útoků, kterou identifikoval Bitdefender, využívala RainyDay jako primární zadní vrátka, přičemž aktéři ji využívali k provádění průzkumu, nahrávání dalších využitelných payloadů, provádění lateral movementu po síti a exfiltraci citlivých informací. Backdoor byl spuštěn pomocí techniky známé jako side-loading DLL, která odkazuje na osvědčenou metodu načítání škodlivých DLL ve snaze unést tok provádění legitimního programu (hijack the execution flow), jako je Outlook Item Finder.

Jako záložní strategii malware také nainstaloval druhý payload s názvem Nebulae, který shromažďuje informace o systému, provádí operace se soubory a stahuje a nahrává libovolné soubory ze serveru C2 a na něj. „Druhá zadní vrátka se údajně používají jako preventivní opatření, aby nedošlo ke ztrátě perzistence v případě zjištění jakýchkoli příznaků infekce.

Mezi další nástroje nasazené backdoorem RainyDay patří sběrač souborů, který zachytí nedávno změněné soubory se specifickými příponami a nahraje je do Dropboxu, nástroje pro získávání pověření a různých síťových nástrojů, jako jsou skenery a proxy NetBIOS.

Infection chain:

Další popis je například zde:

https://www.bitdefender.com/files/News/CaseStudies/study/396/Bitdefender-PR-Whitepaper-NAIKON-creat5397-en-EN.pdf

https://research.checkpoint.com/2020/naikon-apt-cyber-espionage-reloaded/

Další články z blogu

3. 12. 2021
Náš ethical hacker přednášel na UTB o strategii interní bezpečnosti

Pocit bezpečí a jistoty patří k těm nejzákladnějším lidským potřebám. Alespoň podvědomě po něm touží každý z nás. Co se ale IT...

Přečíst
1. 11. 2021
Izrael zažil nejhorší hackerský útok na nemocnici ve své historii

Začalo to ve středu ve čtyři ráno, kdy si personál izraelské nemocnice Hilel Jafe ve městě Chadera všiml, že nefungují...

Přečíst
20. 10. 2021
Kybernetický útok na firmu Parabel

Skoro 9 z 10 společností je ohroženo kybernetickými útoky. Vyplývá to z reprezentativní studie německého svazu digitálních technologií Bitkom, na...

Přečíst
(c) 2021 NWT a.s.
Website by NWT Marketing
menu-circlecross-circle linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram