Для кибершпионажа в поднебесной,помимо постоянных структур таких подразделений НОАК и госбезопасности,также крупные хакеры для самой грязной работы используют вольнонаемных команд хакеров.Так как в случае того что общественность у узнать о их не совсем хороших планах,репутационный ущерб правительству был не столь значимым.
APT16
Малоизвестная группа преимущественно атакующая тайваньских политических активистов,японское правительство и журналистом. Также есть не мало сведений что также данная группировка существует под названиями pTaiwan, SVCMONDR и Danti group или имеет простое сотрудничество с ними.
В атаках APT16 используют бестелесный HTTP бэкдор - Elmer, с функциями обнаружения и обхода прокси.
В 2015 году APT16 успешно воспользовалась эксплоитом для удаленного запуска произвольного кода в MS Office при том, что на момент начала фишинговой кампании патч для этой был уже полгода как написан. Жертвам просто рассылались письма с файлом .docx, который из-за ошибки в обработке внедренного векторного рисунка (EPS) позволял выполнить произвольный код (в данном случае — установить в системе обратный шелл) при попытке его открыть.
Можно дополнительно сказать об использивания APT16 трояна-даунлоадера IRONHALE .Он маскировался под видом Acrobat Reader в автозапуске.
При каждом запуске командный сервер спрашивал о необходимости загрузить что либо на компьютер жертвы.
При положительным ответе,нужный компонент загружался последовательностью строк BASE64. Он сохранялся как временный файл с рандомным имением и имел расширение .dat , после файл декодировался и менял название и скрытно запускался.При помощи эксплойта повышались привилегии .
APT16 провела 3 больших фишинговые атаки,после чео залегла на дно либо обьеденилась с другой группой!(действия проходили с осени 2015 до лета 2016)
APT16
Малоизвестная группа преимущественно атакующая тайваньских политических активистов,японское правительство и журналистом. Также есть не мало сведений что также данная группировка существует под названиями pTaiwan, SVCMONDR и Danti group или имеет простое сотрудничество с ними.
В атаках APT16 используют бестелесный HTTP бэкдор - Elmer, с функциями обнаружения и обхода прокси.
В 2015 году APT16 успешно воспользовалась эксплоитом для удаленного запуска произвольного кода в MS Office при том, что на момент начала фишинговой кампании патч для этой был уже полгода как написан. Жертвам просто рассылались письма с файлом .docx, который из-за ошибки в обработке внедренного векторного рисунка (EPS) позволял выполнить произвольный код (в данном случае — установить в системе обратный шелл) при попытке его открыть.
Можно дополнительно сказать об использивания APT16 трояна-даунлоадера IRONHALE .Он маскировался под видом Acrobat Reader в автозапуске.
При каждом запуске командный сервер спрашивал о необходимости загрузить что либо на компьютер жертвы.
При положительным ответе,нужный компонент загружался последовательностью строк BASE64. Он сохранялся как временный файл с рандомным имением и имел расширение .dat , после файл декодировался и менял название и скрытно запускался.При помощи эксплойта повышались привилегии .
APT16 провела 3 больших фишинговые атаки,после чео залегла на дно либо обьеденилась с другой группой!(действия проходили с осени 2015 до лета 2016)
