В конце прошлой недели австралийское правительство опубликовало информацию об усилении деструктивной кибер-активности в отношении сетей, принадлежащих правительственным агентствам и компаниям в стране.
Правительство утверждает, что за атакой стоит «изощренный» противник, который полагается на слегка модифицированный эксплойт для уязвимостей прошлого года. Неофициальные источники связывают эту активность с Китаем.
О реализации атаки
Атаки нацелены на общедоступную инфраструктуру с помощью средств удаленного выполнения кода, через бреши в непропатченных версиях пользовательского интерфейса Telerik.
Австралийский центр кибербезопасности (ACSC) выпустил уже 4-е (
1,
2,
3,
4) предупреждение о найденных уязвимостях в Telerik UI (
CVE-2019-18935,
CVE-2017-9248,
CVE-2017-11317,
CVE-2017-11357). Для каждой из указанных критических уязвимостей был опубликован код эксплойта.
Важно отметить, что
CVE-2019-18935 был использован несколькими хакерскими группами, так, недавно объявили о
Blue Mockingbird (от фирмы по кибербезопасности
Red Canary) для целей майнинга криптовалюты.
ACSC утверждает, что злоумышленник также использовал уязвимость десериализации VIEWSTATE в Microsoft Internet Information Services (IIS) для загрузки веб-оболочки, уязвимость Microsoft SharePoint 2019 года (
CVE-2019-0604) и уязвимость
CVE-2019-19781 в Citrix. Все они критически важные.
Если атакующие не могли получить доступ, используя бреши, то переходили к фишингу с целью сбора учетных данных, загрузки malwre, кражи OAuth-токенов Office 365.
Также активно использовали «службы отслеживания электронной почты, чтобы идентифицировать события открытия электронной почты и отслеживания кликов», - отмечается в сообщении ACSC.
Расследование ACSC показало, что атакующие тщательно маскировали свои операции, стараясь не оставлять признаков «подрывной или разрушительной деятельности в среде жертвы».
Китайский след
Набор инструментов, используемый злоумышленником, затрудняет приписывание атак конкретному действующему лицу, хотя правительство Австралии уверено, что атака организована с привлечение ресурсов спецслужб.
В то время как премьер-министр уклонился от комментариев, сказав только, что не многие спецслужбы могут проводить операции такого типа, высокопоставленные источники сообщили
Australia’s ABC News, что Китай вполне может быть в списке подозреваемых.
Одна из связей с Китаем - использование этой угрозой вредоносных программ, связанных с китайскими проправительственными хакерскими группами.
В списке индикаторов активности (
IoCs), предоставленном ACSC, есть
одна выборка, которая выделяется особо. Несколько инструментов из неё на Virus Total обнаруживаются как Korplug. Имя фигурирует в отчете ESET о OceanLotus, который, как полагают, базируется во Вьетнаме.
Тем не менее, этот конкретный пример представляет собой PlugX, и ESET классифицирует его как Korplug, потому что два семейства вредоносных программ используют определенный метод подмены DLL.
PlugX существует не менее 2008 года и упоминается в многочисленных отчетах компаний по кибербезопасности о кампаниях атак, связанных с Китаем. В атаках, о которых сообщал ACSC, вредоносная программа использовалась для загрузки полезной нагрузки Cobalt Strike.
Отчет Palo Alto Networks за 2015 год связывает вредоносное ПО с
DragonOK, которое они
связывают с Китаем уже через два года.
В сообщении этого года
Avira сообщает, что группа Mustang Panda использовала PlugX и Cobalt Strike в атаках в Гонконге, Вьетнаме, Китае и Австралии.
По крайней мере, 10 действующих лиц, связанных с угрозами, связаны с Китаем и занимаются шпионской деятельностью, и в их наборе инструментов есть PlugX:
- APT41 (a.k.a. Barium, Blackfly, Group 72, Wicked Panda, Bronze Atlas)
- Deep Panda (a.k.a. Shell Crew, Bronze Express, Kung Fu Kittens, Black Vine, PinkPanther, WebMasters)
- APT19 (a.k.a. Codoso, Sunshop Group, Bronze Firestone, C0d0so0)
- APT17 (a.k.a. Deputy Dog, Tailgater Team, Bronze Keystone)
- Suckfly (a.k.a. Bronze Olive)
- DragonOK (a.k.a. Danti, Bronze Overbrook)
- Mustang Panda (a.k.a. Bronze President)
- APT10 (a.k.a. Stone Panda, MenuPass, Potassium, Bronze Riverside, Hogfish, Red Apollo)
- APT27 (a.k.a. Bronze Union, Emissary Panda, Iron Tiger, Lucky Mouse, TG-3390)
- Roaming Tiger (a.k.a. Rotten Tomato, Bronze Woodland)
При наличии такого количества групп подозреваемых трудно отнести атаку в Австралии к конкретному действующему лицу, но, исходя из наличия только PlugX, легко понять, почему высокопоставленные чиновники выделяют Китай в качестве основного подозреваемого.
Древовидный вид