Связанная с Китаем APT-группа впервые атаковала американскую организацию

Исследователи Symantec сообщили, что связанная с Китаем кибершпионская группировка Budworm (также известная как APT27, Bronze Union, Emissary Panda, Lucky Mouse, TG-3390 и Red Phoenix) стоит за серией атак, проведенных за последние 6 месяцев против высокопоставленных целей по всему миру, включая:

• правительства стран Ближнего Востока;
• международного производителя электроники;
• законодательный орган штата США;
• больница в Юго-Восточной Азии.

Эксперты заявили, что это первый случай, когда группа Budworm атакует американскую организацию.

В атаках APT-группа использовала уязвимости Log4j ( CVE-2021-44228 и CVE-2021-45105 ) для установки веб-оболочек на целевых серверах. Злоумышленники использовали VPS-серверы, размещенные на Vultr и Telstra, в качестве серверов управления и контроля (C&C).

Также киберпреступники продолжают использовать бэкдор HyperBro , который предназначен для загрузки вредоносных DLL-библиотек (методом боковой загрузки) и шифрования полезной нагрузки. В недавних атаках группировка использовала ПО для управления привилегиями конечных точек CyberArk Viewfinity для выполнения боковой загрузки.

Кроме того, хакеры также используют троян PlugX совместно со следующими инструментами:

• Cobalt Strike для загрузки шелл-кода на компьютер жертвы;
• LaZagne для сброса учетных данных;
• IOX – общедоступный прокси-сервер и инструмент для переадресации портов;
• Fast Reverse Proxy (FRP) для создания обратного прокси;
• Fscan для сканирования интрасети.

Эксперты заявили, что в последние годы деятельность группы была сосредоточена на Азии, Ближнем Востоке и Европе. Возобновление атак на объекты США может сигнализировать об изменении вектора группировки.