Link-2-Secure

Cybersecurity and data breach news

Chińscy hakerzy wykorzystują Dysk Google do umieszczania złośliwego oprogramowania w sieciach rządowych

Instytucje rządowe, badawcze i akademickie na całym świecie stały się celem kampanii spearphishingowej prowadzonej przez finansowanych przez Chiny hakerów. W ramach tej kampanii hakerzy dostarczają niestandardowe złośliwe oprogramowanie, które pozostaje ukryte w Google Drive.

Instytucje rządowe, badawcze i akademickie na całym świecie stały się celem kampanii spearphishingowej prowadzonej przez finansowanych przez Chiny hakerów. W ramach tej kampanii hakerzy dostarczają niestandardowe złośliwe oprogramowanie, które pozostaje ukryte w Google Drive.

Badacze przypisują ataki grupie hakerów zajmujących się cyberszpiegostwem, znanej jako Earth Preta (aka Mustang Panda, Bronze President, TA416) grupy APT, zaś badacze Trend Micro monitorowali działanie tej grupy w okresie od marca do października 2022 r.

Aby przekonać swoje cele do pobrania niestandardowego złośliwego oprogramowania z Google Drive, chińscy hakerzy wykorzystali fałszywe e-maile z kilkoma wabikami za pośrednictwem kont Google.

Cele
Głównym celem ataku grupy były organizacje w następujących krajach:

  • Australia
  • Japonia
  • Tajwan
  • Myanmar
  • Filipiny

Większość, bo około 84% wiadomości wysyłanych przez hakerów do organizacji rządowych i prawnych, zawierała tematy geopolityczne. Wśród wielu organizacji poniżej wymieniliśmy te, które są głównie celem ataków:

  • Rząd
  • Prawne
  • Edukacja
  • Biznes
  • Gospodarka
  • Polityka

Łańcuch infekcji
Według raportu Trend Micro, linki osadzone w wiadomościach są połączone z folderem Google Drive lub Dropbox w celu obejścia mechanizmów bezpieczeństwa. Te dwie platformy mają dobrą reputację i są legalne, w związku z tym istnieje mniej podejrzeń wokół nich. Linki te przenoszą użytkownika do skompresowanych plików, takich jak te wymienione poniżej:

  • RAR
  • ZIP
  • JAR

Wśród odmian złośliwego oprogramowania, które są zawarte w plikach, są następujące:

  • ToneShell
  • ToneIns
  • PubLoad

Kampania ta wykorzystuje wyżej wymienione trzy różne rodzaje złośliwego oprogramowania w celu ataku na ofiarę. Jeśli temat wiadomości e-mail jest pusty lub jeśli temat ma taką samą nazwę jak złośliwe archiwum, to prawdopodobnie jest to wiadomość spamowa. Istnieje wiele nawyków związanych z pobieraniem złośliwego oprogramowania wykorzystywanych przez hakerów, ale najczęstszym podejściem był side-loading DLLs.

Czym jest sideloading?
„sideloading” to dość powszechna praktyka, która może narażać na ryzyko naruszenia bezpieczeństwa. Zgodnie z definicją „sideloading” oznacza przenoszenie plików pomiędzy dwoma urządzeniami, na przykład: przenoszenie plików MP3 z laptopa na telefon. Slideloading oznacza również ryzykowne skądinąd instalowanie aplikacji z różnych, nie zawsze bezpiecznych i sprawdzonych źródeł.

W ostatniej kampanii,  wirus ToneIns został wykorzystany jako główny backdoor do instalacji ToneShell. ToneShell jest umieszczany w zaatakowanym systemie w celu uniknięcia wykrycia i załadowania ukrytego kodu w celu zapewnienia sobie bezpieczeństwa w systemie.

Backdoor ToneShell ładuje się bezpośrednio do pamięci i działa jako samodzielny backdoor. Implementacja niestandardowych programów obsługi wyjątków zapewnia maskowanie całego procesu w celu ukrycia przepływu kodu.

Opis
W najnowszej kampanii wykorzystano TTP Mustang Panda, które jest podobne do kampanii opisanych w tym roku przez Secureworks. Jak widać po najnowszej kampanii, przestępcy zdobyli lepszy zestaw narzędzi i są w stanie znacznie rozszerzyć swoje możliwości. Tym samym ułatwiają chińskim hakerom zbieranie informacji wywiadowczych o swoich celach i łamanie ich zabezpieczeń.

Pomimo występowania epizodów wzmożonej aktywności, raport ESET z marca 2022 r. ujawnił, że Mustang Panda stanowi zagrożenie cyberszpiegowskie dla globalnego przemysłu niezależnie od krótkotrwałych (ale intensywnych) aktywności na terenie:

  • Azji Południowej
  • Azji Południowo-Wschodniej
  • Europie Południowej
  • Afryki

Zalecenia
Eksperci sugerują następujące rekomendacje jako część planu łagodzenia skutków dla organizacji:

Zaangażuj partnerów i pracowników w ciągłe szkolenia dotyczące świadomości phishingu.

Przed otwarciem wiadomości e-mail upewnij się, że dwukrotnie zweryfikowałeś nadawcę oraz temat.

Zawsze używaj silnych i unikalnych haseł.

Włącz rozwiązania ochrony wieloczynnikowej.

Upewnij się, że korzystasz z renomowanego programu antywirusowego.

Upewnij się, że często zmieniasz swoje hasło.