Хакеры взламывали организации через серверы Microsoft SharePoint, содержащие уязвимость CVE-2019-0604.
Китайская киберпреступная группировка атаковала израильские организации в ходе вредоносной кампании, организованной еще в январе 2019 года. Хакеры часто использовали фальшивые флаги, пытаясь замаскироваться под иранских преступников.
По словам специалистов из ИБ-фирмы Mandiant, атаки были нацелены на израильские правительственные учреждения, IT-компании и поставщиков телекоммуникационных услуг. Злоумышленники, которых отслеживают под кодовым именем UNC215, обычно взламывали организации через серверы Microsoft SharePoint, содержащие уязвимость CVE-2019-0604 .
Как только UNC215 получала доступ к одному из серверов, хакеры устанавливали инструмент WHEATSCAN для сканирования внутренней сети жертвы, а затем web-оболочку FOCUSFJORD и бэкдор HYPERBRO на ключевых серверах для обеспечения персистентности в сетях жертв.
С целью скрыть свои следы преступники удаляли ненужные вредоносные артефакты и использовали легитимное программное обеспечение для выполнения вредоносных операций. Кроме того, группа также использовала ложные флаги в исходном коде своего вредоносного ПО, пытаясь скрыть настоящие личности. UNC215 часто использовала пути к файлам с упоминанием Ирана (например, C:\Users\Iran) или сообщения об ошибках, написанные на арабском языке. Как минимум трижды UNC215 также использовала иранский хакерский инструмент, обнаруженный в мессенджере Telegram в 2019 году, — web-оболочку SEASHARPEE.
Несмотря на эти сведения, группа UNC215 проводит кибершпионские операции, представляющие интерес для китайского государства, по крайней мере, с 2014 года. Атаки на израильские цели являются частью более крупной шпионской кампании, в ходе которой UNC215 нацелилась на компании на Ближнем Востоке, в Европе, Азии и Северной Америке.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках