Связанный с Китаем субъект угрозы, известный как Sharp Panda, расширил свою деятельность, включив в нее правительственные организации Африки и Карибского бассейна в рамках продолжающейся кампании кибершпионажа.
"Кампания использует Cobalt Strike Beacon в качестве полезной нагрузки, позволяя использовать бэкдорные функции, такие как связь C2 и выполнение команд, при этом сводя к минимуму воздействие их пользовательских инструментов", - говорится в отчете Check Point, опубликованном в Hacker News. "Этот изысканный подход предполагает более глубокое понимание их целей".
Израильская фирма по кибербезопасности отслеживает активность под новым названием Sharp Dragon, описывая противника как осторожного в своих действиях, в то же время расширяя свои разведывательные усилия.
Противник впервые появился на свет в июне 2021 года, когда было обнаружено, что он нацелился на правительство Юго-Восточной Азии с целью развертывания бэкдора в системах Windows, получившего название VictoryDLL.
Последующие атаки, организованные Sharp Dragon, нацелились на высокопоставленные правительственные структуры в Юго-Восточной Азии для доставки модульной вредоносной платформы Soul, которая затем используется для получения дополнительных компонентов с сервера, контролируемого участниками, для облегчения сбора информации.
Данные свидетельствуют о том, что бэкдор Soul находится в разработке с октября 2017 года, используя функции Gh0st RAT – вредоносного ПО, обычно ассоциируемого с различными китайскими агентами, представляющими угрозу, – и других общедоступных инструментов.
Еще одна серия атак, приписываемых участникам угрозы, была направлена против высокопоставленных правительственных чиновников из стран G20 совсем недавно, в июне 2023 года, что указывает на сохраняющееся внимание к правительственным органам в плане сбора информации.
Ключом к операциям Sharp Panda является использование однодневных брешей в системе безопасности (например, CVE-2023-0669) для проникновения в инфраструктуру для последующего использования в качестве серверов командования и контроля (C2). Еще одним примечательным аспектом является использование платформы моделирования легитимного противника Cobalt Strike через пользовательские бэкдоры.
Более того, последняя серия атак, нацеленных на правительства Африки и Карибского бассейна, демонстрирует расширение их первоначальных целей атаки, при этом способ действия предполагает использование скомпрометированных учетных записей электронной почты высокого уровня в Юго-Восточной Азии для рассылки фишинговых писем с целью заражения новых целей в двух регионах.
Эти сообщения содержат вредоносные вложения, которые используют программу-конструктор Royal Road Rich Text Format (RTF) для удаления загрузчика с именем 5.t, который отвечает за проведение разведки и запуск Cobalt Strike Beacon, позволяя злоумышленникам собирать информацию об окружении цели.
Использование Cobalt Strike в качестве бэкдора не только сводит к минимуму воздействие пользовательских инструментов, но и предлагает "усовершенствованный подход к оценке целей", добавила Check Point.
В знак того, что субъект угрозы постоянно совершенствует свою тактику, были обнаружены недавние последовательности атак с использованием исполняемых файлов, замаскированных под документы, для запуска заражения, в отличие от использования документа Word с удаленным шаблоном для загрузки RTF-файла, вооруженного Royal Road.
"Стратегическая экспансия Sharp Dragon в направлении Африки и Карибского бассейна означает более широкие усилия китайских кибер-акторов по усилению своего присутствия и влияния в этих регионах".
Выводы были сделаны в тот же день, когда Palo Alto Networks раскрыла детали кампании под кодовым названием Operation Diplomatic Spectre, которая была нацелена на дипломатические миссии и правительства на Ближнем Востоке, в Африке и Азии, по крайней мере, с конца 2022 года. Атаки были связаны с китайским агентом, представляющим угрозу, получившим название TGR-STA-0043 (ранее CL-STA-0043).
Постоянные стратегические вторжения китайских агентов угрозы в Африке против ключевых промышленных секторов, таких как поставщики телекоммуникационных услуг, финансовые институты и правительственные органы, согласуются с технологической повесткой дня страны в регионе, связанной с ее проектом "Цифровой шелковый путь" (DSR), анонсированным в 2015 году.
"Эти атаки явно согласуются с более широкой программой мягкой силы и технологий Китая в регионе, сосредоточив внимание на важнейших областях, таких как телекоммуникационный сектор, финансовые институты и правительственные органы", - ранее отмечал исследователь безопасности SentinelOne Том Хегель в сентябре 2023 года.
Разработка также последовала за отчетом компании Mandiant, принадлежащей Google, в котором подчеркивается использование Китаем прокси-сетей, называемых операционными ретрансляционными сетями (ORBs), для сокрытия их происхождения при проведении шпионских операций и достижения более высоких показателей успеха в получении и поддержании доступа к сетям с высокой стоимостью.
"Создание сетей из скомпрометированных устройств позволяет администраторам сети ORB легко увеличивать размер своей сети ORB без особых усилий и создавать постоянно развивающуюся ячеистую сеть, которую можно использовать для сокрытия шпионских операций", - сказал исследователь Mandiant Майкл Рагги.
Говорят, что одна из таких сетей ORB3 (она же SPACEHOP) использовалась несколькими участниками угроз, связанных с Китаем, включая APT5 и APT15, в то время как другая сеть под названием FLORAHOX, которая включает устройства, завербованные маршрутизатором FLOWERWATER, была использована APT31.
"Использование сетей ORB для прокси-трафика в скомпрометированной сети не является новой тактикой и не является уникальной для участников кибершпионажа China-nexus", - сказал Рагги. "Мы отслеживали кибершпионаж China-nexus, используя эту тактику как часть более широкой эволюции к более целенаправленным, скрытным и эффективным операциям".
"Кампания использует Cobalt Strike Beacon в качестве полезной нагрузки, позволяя использовать бэкдорные функции, такие как связь C2 и выполнение команд, при этом сводя к минимуму воздействие их пользовательских инструментов", - говорится в отчете Check Point, опубликованном в Hacker News. "Этот изысканный подход предполагает более глубокое понимание их целей".
Израильская фирма по кибербезопасности отслеживает активность под новым названием Sharp Dragon, описывая противника как осторожного в своих действиях, в то же время расширяя свои разведывательные усилия.
Противник впервые появился на свет в июне 2021 года, когда было обнаружено, что он нацелился на правительство Юго-Восточной Азии с целью развертывания бэкдора в системах Windows, получившего название VictoryDLL.
Последующие атаки, организованные Sharp Dragon, нацелились на высокопоставленные правительственные структуры в Юго-Восточной Азии для доставки модульной вредоносной платформы Soul, которая затем используется для получения дополнительных компонентов с сервера, контролируемого участниками, для облегчения сбора информации.
Данные свидетельствуют о том, что бэкдор Soul находится в разработке с октября 2017 года, используя функции Gh0st RAT – вредоносного ПО, обычно ассоциируемого с различными китайскими агентами, представляющими угрозу, – и других общедоступных инструментов.
Еще одна серия атак, приписываемых участникам угрозы, была направлена против высокопоставленных правительственных чиновников из стран G20 совсем недавно, в июне 2023 года, что указывает на сохраняющееся внимание к правительственным органам в плане сбора информации.
Ключом к операциям Sharp Panda является использование однодневных брешей в системе безопасности (например, CVE-2023-0669) для проникновения в инфраструктуру для последующего использования в качестве серверов командования и контроля (C2). Еще одним примечательным аспектом является использование платформы моделирования легитимного противника Cobalt Strike через пользовательские бэкдоры.
Более того, последняя серия атак, нацеленных на правительства Африки и Карибского бассейна, демонстрирует расширение их первоначальных целей атаки, при этом способ действия предполагает использование скомпрометированных учетных записей электронной почты высокого уровня в Юго-Восточной Азии для рассылки фишинговых писем с целью заражения новых целей в двух регионах.
Эти сообщения содержат вредоносные вложения, которые используют программу-конструктор Royal Road Rich Text Format (RTF) для удаления загрузчика с именем 5.t, который отвечает за проведение разведки и запуск Cobalt Strike Beacon, позволяя злоумышленникам собирать информацию об окружении цели.
Использование Cobalt Strike в качестве бэкдора не только сводит к минимуму воздействие пользовательских инструментов, но и предлагает "усовершенствованный подход к оценке целей", добавила Check Point.
В знак того, что субъект угрозы постоянно совершенствует свою тактику, были обнаружены недавние последовательности атак с использованием исполняемых файлов, замаскированных под документы, для запуска заражения, в отличие от использования документа Word с удаленным шаблоном для загрузки RTF-файла, вооруженного Royal Road.
"Стратегическая экспансия Sharp Dragon в направлении Африки и Карибского бассейна означает более широкие усилия китайских кибер-акторов по усилению своего присутствия и влияния в этих регионах".
Выводы были сделаны в тот же день, когда Palo Alto Networks раскрыла детали кампании под кодовым названием Operation Diplomatic Spectre, которая была нацелена на дипломатические миссии и правительства на Ближнем Востоке, в Африке и Азии, по крайней мере, с конца 2022 года. Атаки были связаны с китайским агентом, представляющим угрозу, получившим название TGR-STA-0043 (ранее CL-STA-0043).
Постоянные стратегические вторжения китайских агентов угрозы в Африке против ключевых промышленных секторов, таких как поставщики телекоммуникационных услуг, финансовые институты и правительственные органы, согласуются с технологической повесткой дня страны в регионе, связанной с ее проектом "Цифровой шелковый путь" (DSR), анонсированным в 2015 году.
"Эти атаки явно согласуются с более широкой программой мягкой силы и технологий Китая в регионе, сосредоточив внимание на важнейших областях, таких как телекоммуникационный сектор, финансовые институты и правительственные органы", - ранее отмечал исследователь безопасности SentinelOne Том Хегель в сентябре 2023 года.
Разработка также последовала за отчетом компании Mandiant, принадлежащей Google, в котором подчеркивается использование Китаем прокси-сетей, называемых операционными ретрансляционными сетями (ORBs), для сокрытия их происхождения при проведении шпионских операций и достижения более высоких показателей успеха в получении и поддержании доступа к сетям с высокой стоимостью.
"Создание сетей из скомпрометированных устройств позволяет администраторам сети ORB легко увеличивать размер своей сети ORB без особых усилий и создавать постоянно развивающуюся ячеистую сеть, которую можно использовать для сокрытия шпионских операций", - сказал исследователь Mandiant Майкл Рагги.
Говорят, что одна из таких сетей ORB3 (она же SPACEHOP) использовалась несколькими участниками угроз, связанных с Китаем, включая APT5 и APT15, в то время как другая сеть под названием FLORAHOX, которая включает устройства, завербованные маршрутизатором FLOWERWATER, была использована APT31.
"Использование сетей ORB для прокси-трафика в скомпрометированной сети не является новой тактикой и не является уникальной для участников кибершпионажа China-nexus", - сказал Рагги. "Мы отслеживали кибершпионаж China-nexus, используя эту тактику как часть более широкой эволюции к более целенаправленным, скрытным и эффективным операциям".
