Эта кампания показала, как Китай использует киберпространство в своих интересах.
Согласно новому отчету Mandiant, предположительно связанная с Китаем группировка проводила серию шпионских атак на Филиппинах, используя USB-устройства в качестве начального вектора заражения.
Mandiant отслеживает кластер угроз под своим неклассифицированным названием UNC4191. Согласно анализу артефактов, использованных при вторжениях, кампания проводилась в сентябре 2021 года.
Атаки затронули ряд организаций государственного и частного секторов, в первую очередь в Юго-Восточной Азии, а также в США, Европе и Азиатско-Тихоокеанском регионе. Однако, даже когда целевые организации находились в других местах, определенные системы, на которые нацелена UNC4191, также оказывались физически расположенными на Филиппинах.
По словам экспертов, атаки привели к развертыванию новых семейств вредоносных программ под названием MISTCLOAK, DARKDEW, BLUEHAZE, а также Ncat – сетевая утилита командной строки, которая используется для создания обратной оболочки в системе жертвы.
Цепочка атак UNC4191
Когда пользователь подключает к компьютеру скомпрометированное USB-устройство, активируется MISTCLOAK, выступая в качестве панели запуска для зашифрованной полезной нагрузки DARKDEW. DARKDEW, в свою очередь, заражает съемные диски, распространяется на дополнительные системы и собирает данные из Air Gap систем ( воздушный зазор ).
Кроме того, DARKDEW также предназначен для запуска исполняемого файла («DateCheck.exe») – переименованной версии легитимного приложения «Razer Chromium Render Process», которая разворачивает вредоносное ПО BLUEHAZE. BLUEHAZE запускает копию Ncat для создания обратной оболочки по жестко запрограммированному адресу сервера управления и контроля (C&C).
Исследователи считают, что эта кампания демонстрирует действия Китая по получению и сохранению доступа к государственным и частным организациям в целях сбора разведданных, связанных с политическими и коммерческими интересами страны.
Сбалансированная диета для серого вещества