Правительственные учреждения на Ближнем Востоке, в Африке и Азии являются мишенью китайской группы advanced persistent threat (APT) в рамках продолжающейся кампании кибершпионажа, получившей название Operation Diplomatic Spectre, по крайней мере, с конца 2022 года.
"Анализ деятельности этого субъекта угрозы выявляет долгосрочные шпионские операции по меньшей мере против семи правительственных организаций", - сказали исследователи из подразделения Palo Alto Networks 42 Лиор Рочбергер и Дэниел Франк в отчете, опубликованном The Hacker News.
"Субъект угрозы проводил крупномасштабные мероприятия по сбору разведданных, используя редкие методы эксфильтрации электронной почты против скомпрометированных серверов".
Фирма по кибербезопасности, которая ранее отслеживала группу действий под названием CL-STA-0043, заявила, что переводит ее во временную группу участников под кодовым названием TGR-STA-0043, поскольку, по ее оценке, набор вторжений является работой одного субъекта, действующего от имени интересов китайского государства.
Целями атак являются дипломатические и экономические миссии, посольства, военные операции, политические собрания, министерства целевых стран и высокопоставленные чиновники.
CL-STA-0043 был впервые задокументирован в июне 2023 года как нацеленный на правительственные учреждения Ближнего Востока и Африки с использованием редких методов кражи учетных данных и эксфильтрации электронной почты Exchange.
Последующий анализ, проведенный подразделением 42 в конце прошлого года, выявил совпадения между CL-STA-0043 и CL-STA-0002, возникшие в результате использования программы под названием Ntospy (она же NPPSpy) для операций по краже учетных данных.
Организованные группой цепочки атак включали в себя набор ранее недокументированных бэкдоров, таких как TunnelSpectre и SweetSpectre, которые оба являются вариантами печально известного Gh0st RAT, инструмента, широко используемого в шпионских кампаниях, организованных хакерами правительства Пекина.
TunnelSpectre получил свое название из-за использования DNS-туннелирования для эксфильтрации данных, что придает ему дополнительный уровень скрытности. SweetSpectre, с другой стороны, назван так из-за сходства с SugarGh0st RAT, еще одним нестандартным вариантом Gh0st RAT, который используется предполагаемым субъектом угрозы, говорящим на китайском языке, с августа 2023 года.
Оба бэкдора позволяют злоумышленнику поддерживать скрытый доступ к сетям своих целей, наряду с возможностью выполнять произвольные команды, извлекать данные и развертывать дополнительные вредоносные программы и инструменты на зараженных хостах.
"Субъект угрозы, по-видимому, внимательно следит за современными геополитическими событиями, пытаясь ежедневно распространять информацию", - сказали исследователи.
Это реализуется посредством целенаправленных усилий по проникновению на почтовые серверы целей и поиску на них интересующей информации, в некоторых случаях неоднократных попыток восстановить доступ, когда действия злоумышленников были обнаружены и пресечены. Первоначальный доступ осуществляется путем использования известных недостатков Exchange server, таких как ProxyLogon и ProxyShell.
"Субъект угрозы искал определенные ключевые слова и извлекал все, что мог найти, связанное с ними, например, целые архивные почтовые ящики, принадлежащие определенным дипломатическим миссиям или отдельным лицам", - отметили исследователи. "Субъект угрозы также отфильтровал файлы, относящиеся к темам, которые они искали".
Китайские связи с Operation Diplomatic Spectre также проистекают из использования операционной инфраструктуры, используемой исключительно группами China-nexus, такими как APT27, Mustang Panda и Winnti, не говоря уже о таких инструментах, как China Chopper web shell и PlugX.
"Методы эксфильтрации, наблюдаемые в рамках операции "Дипломатический призрак", дают четкое представление о возможных стратегических целях субъекта угрозы, стоящего за атаками", - заключили исследователи.
"Субъект угрозы искал высокочувствительную информацию, включающую подробности о военных операциях, дипломатических миссиях, посольствах и министерствах иностранных дел".
"Анализ деятельности этого субъекта угрозы выявляет долгосрочные шпионские операции по меньшей мере против семи правительственных организаций", - сказали исследователи из подразделения Palo Alto Networks 42 Лиор Рочбергер и Дэниел Франк в отчете, опубликованном The Hacker News.
"Субъект угрозы проводил крупномасштабные мероприятия по сбору разведданных, используя редкие методы эксфильтрации электронной почты против скомпрометированных серверов".
Фирма по кибербезопасности, которая ранее отслеживала группу действий под названием CL-STA-0043, заявила, что переводит ее во временную группу участников под кодовым названием TGR-STA-0043, поскольку, по ее оценке, набор вторжений является работой одного субъекта, действующего от имени интересов китайского государства.
Целями атак являются дипломатические и экономические миссии, посольства, военные операции, политические собрания, министерства целевых стран и высокопоставленные чиновники.
CL-STA-0043 был впервые задокументирован в июне 2023 года как нацеленный на правительственные учреждения Ближнего Востока и Африки с использованием редких методов кражи учетных данных и эксфильтрации электронной почты Exchange.
Последующий анализ, проведенный подразделением 42 в конце прошлого года, выявил совпадения между CL-STA-0043 и CL-STA-0002, возникшие в результате использования программы под названием Ntospy (она же NPPSpy) для операций по краже учетных данных.
Организованные группой цепочки атак включали в себя набор ранее недокументированных бэкдоров, таких как TunnelSpectre и SweetSpectre, которые оба являются вариантами печально известного Gh0st RAT, инструмента, широко используемого в шпионских кампаниях, организованных хакерами правительства Пекина.
TunnelSpectre получил свое название из-за использования DNS-туннелирования для эксфильтрации данных, что придает ему дополнительный уровень скрытности. SweetSpectre, с другой стороны, назван так из-за сходства с SugarGh0st RAT, еще одним нестандартным вариантом Gh0st RAT, который используется предполагаемым субъектом угрозы, говорящим на китайском языке, с августа 2023 года.
Оба бэкдора позволяют злоумышленнику поддерживать скрытый доступ к сетям своих целей, наряду с возможностью выполнять произвольные команды, извлекать данные и развертывать дополнительные вредоносные программы и инструменты на зараженных хостах.
"Субъект угрозы, по-видимому, внимательно следит за современными геополитическими событиями, пытаясь ежедневно распространять информацию", - сказали исследователи.
Это реализуется посредством целенаправленных усилий по проникновению на почтовые серверы целей и поиску на них интересующей информации, в некоторых случаях неоднократных попыток восстановить доступ, когда действия злоумышленников были обнаружены и пресечены. Первоначальный доступ осуществляется путем использования известных недостатков Exchange server, таких как ProxyLogon и ProxyShell.
"Субъект угрозы искал определенные ключевые слова и извлекал все, что мог найти, связанное с ними, например, целые архивные почтовые ящики, принадлежащие определенным дипломатическим миссиям или отдельным лицам", - отметили исследователи. "Субъект угрозы также отфильтровал файлы, относящиеся к темам, которые они искали".
Китайские связи с Operation Diplomatic Spectre также проистекают из использования операционной инфраструктуры, используемой исключительно группами China-nexus, такими как APT27, Mustang Panda и Winnti, не говоря уже о таких инструментах, как China Chopper web shell и PlugX.
"Методы эксфильтрации, наблюдаемые в рамках операции "Дипломатический призрак", дают четкое представление о возможных стратегических целях субъекта угрозы, стоящего за атаками", - заключили исследователи.
"Субъект угрозы искал высокочувствительную информацию, включающую подробности о военных операциях, дипломатических миссиях, посольствах и министерствах иностранных дел".
