ИБ-эксперты связали атаки с APT-группировкой Praying Mantis.
Киберпреступная группировка TG1021 (или Praying Mantis), предположительно связанная с Китаем, эксплуатировала уязвимость в популярном инструменте для создания опросов Checkbox Survey для осуществления атак на организации в США.
Специалисты из ИБ-компании Sygnia подробно рассказали об атаках, совершенных группировкой на «известные государственные и частные организации» в США. Sygnia не упоминала Китай в своем отчете, но обнаружила некоторые связи с другими атаками, которые ранее были связаны с правительством Китая.
В ходе атак преступники эксплуатировали уязвимость десереализации ( CVE-2021-27852 ) в инструменте Checkbox Survey. Уязвимость может использоваться удаленно без аутентификации и затрагивает версию приложения Checkbox Survey 6. Уязвимость отсутствует в версии 7.0 (выпущенной в 2019 году), но более старые версии больше не поддерживаются и не будут получать исправления.
Sygnia обнаружила некоторое сходство с атаками, нацеленными на государственные и частные организации в Австралии в прошлом году , которые специалисты связали с китайскими хакерами. Sygnia обнаружила сходство между вредоносным ПО, использованным в атаках в Австралии, и вредоносным ПО, использованным в недавних атаках на цели в США. Как отметили в компании, деятельность, описанная австралийским CERT/CC, «шире» и состоит из других техник, тактик и процедур, которые не были замечены в недавних атаках на компании в США.
Вредоносное ПО, используемое TG1021, включает специальные инструменты, разработанные для взлома IIS-серверов, бэкдор, а также несколько постэксплуатационных модулей, которые позволяют злоумышленникам проводить разведку, повышать привилегии и перемещаться по сети. Как отметили эксперты, злоумышленники активно удаляли все резидентные инструменты диска после их использования, фактически отказавшись от обеспечения персистентности в обмен на скрытность.
Одно найти легче, чем другое. Спойлер: это не темная материя