«Багровый Дворец»: как синдикаты китайских хакеров проникли в сети Юго-Восточной Азии

RutoR

Support81

Original poster
Administrator
Сообщения
991
Реакции
203
Посетить сайт
Длительная кампания показала, как проводится кибершпионаж на государственном уровне.
image



Специалисты

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

выявили сложную и долгосрочную кибершпионскую операцию китайских госхакеров, направленную на поддержание постоянного доступа к сети правительственной организации в Юго-Восточной Азии. Кампания получила название Crimson Palace.

Кибершпионы стремились получить доступ к критически важным ИТ-системам, проводить разведку конкретных пользователей, собирать конфиденциальную военную и техническую информацию, а также разворачивать различные вредоносные программы для удалённого управления.

Хотя имя целевой правительственной организации не было раскрыто, известно, что страна, в которой она находится, имеет постоянные территориальные конфликты с Китаем в Южно-Китайском море. Это позволяет предположить, что речь может идти о Филиппинах, которые ранее уже подвергались атакам китайской группы Mustang Panda.

Операция Crimson Palace включает 3 кластера активности, некоторые из которых используют одинаковые тактики:

  • Кластер Alpha (STAC1248) (март 2023 – август 2023), имеет сходство с группами BackdoorDiplomacy, REF5961, Worok и TA428. Занимается разведкой серверных подсетей и инфраструктуры Active Directory.
  • Кластер Bravo (STAC1870) (с марта 2023), имеет общие черты с Unfading Sea Haze. Используеот действительные учетные записи для бокового перемещения и развертывания вредоноса EtherealGh0st.
  • Кластер Charlie (STAC1305) (март 2023 – апрель 2024), пересекается с Earth Longzhi (подгруппа APT41). Использует PocoProxy для установления постоянного доступа и HUI Loader для доставки Cobalt Strike.

По данным Sophos, являются частью скоординированной кампании, организованной одной группировкой с большим набором инструментов, разнообразной инфраструктурой и несколькими операторами.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.




Пересечение Кластера Alpha с другими субъектами угроз

Кампания примечательна использованием неизвестных ранее вредоносных программ, таких как PocoProxy, а также обновленной версии EAGERBEE и других известных семейств вредоносных программ, включая NUPAKAGE, PowHeartBeat, RUDEBIRD, DOWNTOWN (PhantomNet) и EtherealGh0st (также известный как CCoreDoor).

Также характерными чертами кампании стали обширное использование техники DLL Sideloading и необычные методы скрытности. Злоумышленники использовали множество новых методов обхода защиты:



  • перезапись DLL в памяти для удаления антивирусного агента из ядра;
  • использование антивирусного ПО для боковой загрузки;
  • и другие различные техники для тестирования наиболее эффективных и скрытных методов выполнения задач.




Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.




Различия и совпадения трех кластеров

В отчете Sophos также

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

индикаторы компрометации (IoC) для каждого кластера активности, а пока специалисты продолжают расследовать кампанию, чтобы выяснить дополнительные подробности об атаках. Отметим, что HUI Loader

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

в атаках на игорный сектор Юго-Восточной Азии с целью шпионажа.
Подробнее:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

 
Название темы
Автор Заголовок Раздел Ответы Дата
Support81 Эксплойт дня: как баг в кsthunk.sys превращается в цифровое оружие Новости в сети 0
Support81 DDoS на заказ: как Matrix монетизирует крупнейшую ботнет-сеть через Telegram Новости в сети 0
Support81 12 месяцев в тени: как Salt Typhoon разоблачил агентурную сеть США Новости в сети 0
Support81 Ошибка в Windows Registry: как получить права администратора домена Новости в сети 0
Support81 План Си Цзиньпина: как превратить хакеров в государственный актив Новости в сети 0
Support81 Смартфон-стукач: как спецслужбы США использовали лазейку в законе для шпионажа Новости в сети 0
Support81 Самолюбие ценой в 15 лет: как геймер сливал гостайны США в Discord Новости в сети 0
Support81 Хакеры требуют $15 000 000: как 1win борется за сохранность данных 100 млн клиентов? Новости в сети 0
Support81 От Git до черного рынка: как заработать миллион на слабой защите Новости в сети 0
Support81 Phish 'n' Ships: как поддельные интернет-магазины обманули Google Новости в сети 0
Support81 CryptoAITools: как трейдерский ИИ-инструмент обокрал всех пользователей до нитки Новости в сети 0
Support81 Развод в эпоху TikTok: как делить миллионы подписчиков между бывшими супругами Новости в сети 0
Support81 Фишинг нового поколения: как антибот-сервисы обходят «красную страницу» Google Новости в сети 0
Support81 Операция ANOM: как ФБР запустило собственный «даркнет» и переиграло мафию Новости в сети 0
Support81 Конец игры USDoD: как поймали неуловимого хакера Новости в сети 0
Support81 Anonymous Sudan: как два брата держали в страхе интернет-гигантов Новости в сети 0
Support81 10 лет тюрьмы за пост: как 43 страны наказывают за интернет-активность Новости в сети 0
Support81 Тёмная сторона цифровой подписи: как распространяется Hijack Loader? Новости в сети 0
Support81 Mongolian Skimmer: как Unicode помогает хакерам маскировать вредоносный код Новости в сети 0
Support81 Темная сторона гениальности: Как аутизм и киберпреступность переплелись в судьбе Ариона Куртая Новости в сети 0
Support81 Глаза смарт-ТВ: как умные телевизоры используют ACR для слежки Новости в сети 0
Support81 Скриншот свободы: как спецслужбы разоблачили хакера, инсценировавшего смерть Новости в сети 0
Support81 Алет Денис: как девушка-хакер обманула целую корпорацию Новости в сети 0
Support81 CosmicSting: как 4275 онлайн-магазинов были захвачены за считанные секунды Новости в сети 0
Support81 Цифровой Рейх: как Гитлер захватывает социальные сети в 2024 году Новости в сети 0
Support81 Открытые каналы, закрытые дела: как преступники сами себя разоблачают в Telegram Новости в сети 0
Support81 Охотник становится жертвой: как Sniper Dz обманывает фишеров Новости в сети 0
Support81 BingX: как потерять более $44 млн за один день Новости в сети 0
Support81 Цифровой след в $230 млн: как крипто-гении проиграли ФБР Новости в сети 0
Support81 Telegram vs приватность: как киберпреступники случайно выдают свои личности Новости в сети 0
Support81 Отсканировал и остался без денег: как QR-коды разоряют европейских туристов Новости в сети 0
Support81 Взрыв пейджеров в Ливане: как такое могло произойти? Новости в сети 0
Support81 Мошенничество и любовь: как женщина из Флориды стала "банкиром" преступников Новости в сети 0
Support81 Тайная жизнь вашего смартфона: как безобидные программы превращаются в шпионов Новости в сети 0
K P2P схемы для чайников (или как заработать дэнег) Способы заработка 0
Support81 Мифы о нейтралитете платформ: Как Telegram оказался под прицелом за пособничество преступлениям Новости в сети 0
Support81 Двойная игра Дурова: как создатель Telegram тайно сотрудничал со спецслужбами Новости в сети 0
Support81 0day в WPS Office: как обычный документ становится плацдармом для запуска бэкдора SpyGlace Новости в сети 0
Support81 Тайна псевдонима: ФБР использовало книгу на Amazon как главную улику в деле Новости в сети 0
Support81 ТелекомЦерт: как государство, бизнес и соцсети объединятся против кибермошенников Новости в сети 0
Support81 Интересно Fileless атаки как смысл жизни: подробный разбор Вирусология 0
Support81 «Airbnb-хоппинг»: как разоблаченные хакеры уходят от погони Новости в сети 0
Support81 GPS-слежка: как ваш телефон становится невольным шпионом Новости в сети 0
Support81 Project Disrupt: как молодые канадцы обманули систему на миллион долларов Новости в сети 0
Support81 Akamai: обеспечение безопасности игр — это как королевская битва Новости в сети 0
Support81 Как обмануть обманщика? «Лаборатория Касперского» разоблачает аферу с Electrum-XMR Новости в сети 0
Support81 От частных лиц к гостайне: как Китай пробрался в сердце немецкого правительства Новости в сети 0
Ёшкин_кот Интересно Как обойти замедление YouTube в России, если он у вас вообще тормозит. Полезные статьи 4
Support81 Морские пираты XXI века: как они захватывают грузовые порты Новости в сети 0
Support81 Троян на 3000 устройствах: как начались Олимпийские игры в Париже Новости в сети 1

Название темы

Русскоязычный Даркнет Форум