Instytucje rządowe, badawcze i akademickie na całym świecie stały się celem kampanii spearphishingowej prowadzonej przez finansowanych przez Chiny hakerów. W ramach tej kampanii hakerzy dostarczają niestandardowe złośliwe oprogramowanie, które pozostaje ukryte w Google Drive.
Badacze przypisują ataki grupie hakerów zajmujących się cyberszpiegostwem, znanej jako Earth Preta (aka Mustang Panda, Bronze President, TA416) grupy APT, zaś badacze Trend Micro monitorowali działanie tej grupy w okresie od marca do października 2022 r.
Aby przekonać swoje cele do pobrania niestandardowego złośliwego oprogramowania z Google Drive, chińscy hakerzy wykorzystali fałszywe e-maile z kilkoma wabikami za pośrednictwem kont Google.
Cele
Głównym celem ataku grupy były organizacje w następujących krajach:
- Australia
- Japonia
- Tajwan
- Myanmar
- Filipiny
Większość, bo około 84% wiadomości wysyłanych przez hakerów do organizacji rządowych i prawnych, zawierała tematy geopolityczne. Wśród wielu organizacji poniżej wymieniliśmy te, które są głównie celem ataków:
- Rząd
- Prawne
- Edukacja
- Biznes
- Gospodarka
- Polityka
Łańcuch infekcji
Według raportu Trend Micro, linki osadzone w wiadomościach są połączone z folderem Google Drive lub Dropbox w celu obejścia mechanizmów bezpieczeństwa. Te dwie platformy mają dobrą reputację i są legalne, w związku z tym istnieje mniej podejrzeń wokół nich. Linki te przenoszą użytkownika do skompresowanych plików, takich jak te wymienione poniżej:
- RAR
- ZIP
- JAR
Wśród odmian złośliwego oprogramowania, które są zawarte w plikach, są następujące:
- ToneShell
- ToneIns
- PubLoad
Kampania ta wykorzystuje wyżej wymienione trzy różne rodzaje złośliwego oprogramowania w celu ataku na ofiarę. Jeśli temat wiadomości e-mail jest pusty lub jeśli temat ma taką samą nazwę jak złośliwe archiwum, to prawdopodobnie jest to wiadomość spamowa. Istnieje wiele nawyków związanych z pobieraniem złośliwego oprogramowania wykorzystywanych przez hakerów, ale najczęstszym podejściem był side-loading DLLs.
Czym jest sideloading?
„sideloading” to dość powszechna praktyka, która może narażać na ryzyko naruszenia bezpieczeństwa. Zgodnie z definicją „sideloading” oznacza przenoszenie plików pomiędzy dwoma urządzeniami, na przykład: przenoszenie plików MP3 z laptopa na telefon. Slideloading oznacza również ryzykowne skądinąd instalowanie aplikacji z różnych, nie zawsze bezpiecznych i sprawdzonych źródeł.
W ostatniej kampanii, wirus ToneIns został wykorzystany jako główny backdoor do instalacji ToneShell. ToneShell jest umieszczany w zaatakowanym systemie w celu uniknięcia wykrycia i załadowania ukrytego kodu w celu zapewnienia sobie bezpieczeństwa w systemie.
Backdoor ToneShell ładuje się bezpośrednio do pamięci i działa jako samodzielny backdoor. Implementacja niestandardowych programów obsługi wyjątków zapewnia maskowanie całego procesu w celu ukrycia przepływu kodu.
Opis
W najnowszej kampanii wykorzystano TTP Mustang Panda, które jest podobne do kampanii opisanych w tym roku przez Secureworks. Jak widać po najnowszej kampanii, przestępcy zdobyli lepszy zestaw narzędzi i są w stanie znacznie rozszerzyć swoje możliwości. Tym samym ułatwiają chińskim hakerom zbieranie informacji wywiadowczych o swoich celach i łamanie ich zabezpieczeń.
Pomimo występowania epizodów wzmożonej aktywności, raport ESET z marca 2022 r. ujawnił, że Mustang Panda stanowi zagrożenie cyberszpiegowskie dla globalnego przemysłu niezależnie od krótkotrwałych (ale intensywnych) aktywności na terenie:
- Azji Południowej
- Azji Południowo-Wschodniej
- Europie Południowej
- Afryki
Zalecenia
Eksperci sugerują następujące rekomendacje jako część planu łagodzenia skutków dla organizacji:
Zaangażuj partnerów i pracowników w ciągłe szkolenia dotyczące świadomości phishingu.
Przed otwarciem wiadomości e-mail upewnij się, że dwukrotnie zweryfikowałeś nadawcę oraz temat.
Zawsze używaj silnych i unikalnych haseł.
Włącz rozwiązania ochrony wieloczynnikowej.
Upewnij się, że korzystasz z renomowanego programu antywirusowego.
Upewnij się, że często zmieniasz swoje hasło.
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
EUROPOL – udana akcja, przejęto infrastrukturę wykorzystywaną do propagacji ataków FluBot