Новый вариант инструмента Mimikatz, известные бэкдоры и повышенный интерес к Ближнему Востоку.
Поставщики телекоммуникационных услуг на Ближнем Востоке стали жертвами новых кибератак китайских кибершпионов в рамках кампании Operation Soft Cell. Атаки начались в первом квартале 2023 года и продолжаются до сих пор. Об этом заявили исследователи безопасности из SentinelOne и QGroup в совместном техническом отчёте .
Начальная фаза атаки включает в себя проникновение на доступные в Интернете серверы Microsoft Exchange для развертывания веб-оболочек, используемых для выполнения команд, установления постоянства и доставки полезной нагрузки. Как только плацдарм установлен, злоумышленники проводят различные разведывательные операции, кражу учетных и конфиденциальных данных, а также боковое перемещение.
Кампания Operation Soft Cell, приписываемая китайским хакерам, нацелена на поставщиков телекоммуникационных услуг как минимум с 2012 года.
Киберпреступники, стоящие за Operation Soft Cell, отслеживаются Microsoft как Gallium . Группировка известна тем, что нацеливается на незащищенные веб-службы и использует инструмент Mimikatz для получения учетных данных, которые позволяют перемещаться дальше по целевым сетям.
Gallium также использует трудно обнаруживаемый бэкдор под кодовым названием PingPull в своих шпионских атаках, направленных против организаций в Юго-Восточной Азии, Европе, Африке и на Ближнем Востоке . Бэкдор PingPull использует ICMP-протокол для управления и контроля (C2, C&C).
Вредоносное ПО на основе Visual C++ PingPull предоставляет злоумышленнику возможность доступа к обратной оболочке и выполнения произвольных команд на скомпрометированном хосте. Функции ПО включают в себя выполнение файловых операций, перечисление томов хранилища и временные метки файлов.
Процесс выполнения «mim221»
Центральным элементом последней кампании является развертывание пользовательского варианта Mimikatz под названием «mim221», который включает новые функции защиты от обнаружения. Например, один из компонентов «mim221» выполняет следующие действия:
· Получение привилегии «SeDebugPrivilege» и «SYSTEM» путем олицетворения токена доступа. Это позволяет «mim221» проверять и извлекать учетные данные из процесса LSASS;
· Отключение ведения журнала событий Windows, чтобы избежать обнаружения;
· Внедрение DLL-библиотеки в LSASS в качестве пакета безопасности. Пакеты безопасности используются для расширения механизма проверки подлинности Windows и могут использоваться для выполнения вредоносного кода в контексте LSASS.
Атаки в конечном итоге оказались безуспешными: вредоносная активность была обнаружена и предотвращена до того, как хакеры развернули имплантаты в целевых сетях.
Предыдущие исследования Gallium указывают на тактическое сходство с другими китайскими APT-группами, такими как APT10 (Bronze Riverside, Potassium или Stone Panda), APT27 (Bronze Union, Emissary Panda или Lucky Mouse) и APT41 (Barium, Bronze Atlas или Wicked Panda).
Эксперты заключили, что китайские субъекты кибершпионажа имеют стратегический интерес на Ближнем Востоке. Хакеры продолжат изучать и совершенствовать свои инструменты с помощью новых методов уклонения от обнаружения, включая интеграцию и изменение общедоступного кода.
Никаких овечек — только отборные научные факты