|
В конце прошлой недели австралийское правительство опубликовало информацию об усилении деструктивной кибер-активности в отношении сетей, принадлежащих правительственным агентствам и компаниям в стране.
Правительство утверждает, что за атакой стоит «изощренный» противник, который полагается на слегка модифицированный эксплойт для уязвимостей прошлого года. Неофициальные источники связывают эту активность с Китаем. О реализации атаки Атаки нацелены на общедоступную инфраструктуру с помощью средств удаленного выполнения кода, через бреши в непропатченных версиях пользовательского интерфейса Telerik. Австралийский центр кибербезопасности (ACSC) выпустил уже 4-е (1, 2, 3, 4) предупреждение о найденных уязвимостях в Telerik UI (CVE-2019-18935, CVE-2017-9248, CVE-2017-11317, CVE-2017-11357). Для каждой из указанных критических уязвимостей был опубликован код эксплойта. Важно отметить, что CVE-2019-18935 был использован несколькими хакерскими группами, так, недавно объявили о Blue Mockingbird (от фирмы по кибербезопасности Red Canary) для целей майнинга криптовалюты. ACSC утверждает, что злоумышленник также использовал уязвимость десериализации VIEWSTATE в Microsoft Internet Information Services (IIS) для загрузки веб-оболочки, уязвимость Microsoft SharePoint 2019 года (CVE-2019-0604) и уязвимость CVE-2019-19781 в Citrix. Все они критически важные. Если атакующие не могли получить доступ, используя бреши, то переходили к фишингу с целью сбора учетных данных, загрузки malwre, кражи OAuth-токенов Office 365. Также активно использовали «службы отслеживания электронной почты, чтобы идентифицировать события открытия электронной почты и отслеживания кликов», - отмечается в сообщении ACSC. Расследование ACSC показало, что атакующие тщательно маскировали свои операции, стараясь не оставлять признаков «подрывной или разрушительной деятельности в среде жертвы». Китайский след Набор инструментов, используемый злоумышленником, затрудняет приписывание атак конкретному действующему лицу, хотя правительство Австралии уверено, что атака организована с привлечение ресурсов спецслужб. В то время как премьер-министр уклонился от комментариев, сказав только, что не многие спецслужбы могут проводить операции такого типа, высокопоставленные источники сообщили Australia’s ABC News, что Китай вполне может быть в списке подозреваемых. Одна из связей с Китаем - использование этой угрозой вредоносных программ, связанных с китайскими проправительственными хакерскими группами. В списке индикаторов активности (IoCs), предоставленном ACSC, есть одна выборка, которая выделяется особо. Несколько инструментов из неё на Virus Total обнаруживаются как Korplug. Имя фигурирует в отчете ESET о OceanLotus, который, как полагают, базируется во Вьетнаме. Тем не менее, этот конкретный пример представляет собой PlugX, и ESET классифицирует его как Korplug, потому что два семейства вредоносных программ используют определенный метод подмены DLL. PlugX существует не менее 2008 года и упоминается в многочисленных отчетах компаний по кибербезопасности о кампаниях атак, связанных с Китаем. В атаках, о которых сообщал ACSC, вредоносная программа использовалась для загрузки полезной нагрузки Cobalt Strike. Отчет Palo Alto Networks за 2015 год связывает вредоносное ПО с DragonOK, которое они связывают с Китаем уже через два года. В сообщении этого года Avira сообщает, что группа Mustang Panda использовала PlugX и Cobalt Strike в атаках в Гонконге, Вьетнаме, Китае и Австралии. По крайней мере, 10 действующих лиц, связанных с угрозами, связаны с Китаем и занимаются шпионской деятельностью, и в их наборе инструментов есть PlugX:
|
| Время: 23:15 |