Специалисты подразделения Unit 42 ИБ-компании Palo Alto Networks сообщают , что неназванное правительство Юго-Восточной Азии стало целью нескольких китайских хакерских группировок, проводивших шпионские кампании в регионе на протяжении длительного времени. Деятельность происходила примерно в одно и то же время и иногда даже одновременно на одних и тех же компьютерах жертв, но каждая группа использовала уникальные инструменты, методы работы и инфраструктуру.
Атаки, нацеленные на различные госорганы, включая критическую инфраструктуру, общественные медицинские учреждения и министерства, были приписаны трем различным группам: Stately Taurus (Mustang Panda), Alloy Taurus (Granite Typhoon) и Gelsemium.
- Mustang Panda использовала варианты TONESHELL и ShadowPad. Основная цель – сбор разведданных и кража конфиденциальной информации. В ходе кампании злоумышленники контролировали среду жертв, сосредотачиваясь на долгосрочном управлении. Среди инструментариев группировки – AdFind , Mimikatz, Impacket, веб-оболочки China Chopper , Cobalt Strike, ShadowPad и новая версия бэкдора TONESHELL .
- Alloy Taurus старалась оставаться незамеченной. Группа начала свои действия в начале 2022 года и продолжала их на протяжении 2023 года, используя необычные методы заражения и обходя средства безопасности. Хакеры эксплуатировали уязвимости в Microsoft Exchange Server для развертывания веб-оболочек и дополнительных загрузок, в числе которых .NET-бэкдоры Zapoa и ReShell для удаленного выполнения произвольных команд и сбора конфиденциальной информации.
- Gelsemium сосредотачивалась на уязвимых IIS-серверах. Группа была активна в течение шести месяцев между 2022 и 2023 годами. Злоумышленники использовали редкие инструменты и методы для получения доступа к чувствительным IIS-серверам Microsoft правительства Юго-Восточной Азии. Инвентарь группы включает бэкдоры OwlProxy и SessionManager, а также инструменты Cobalt Strike, Meterpreter, Earthworm и SpoolFool для постэксплуатации, туннелирования трафика и повышения привилегий.
Поскольку некоторые попытки злоумышленников установить вредоносное ПО оказались безуспешными, они продолжали использовать новые инструменты, демонстрируя свою способность адаптироваться к процессу смягчения последствий.
Ранее сообщалось, что китайская хакерская группа Mustang Panda, занимающаяся кибершпионажем, была замечена в развертывании нового пользовательского бэкдора под названием “MQsTTang”. Новый бэкдор MQsTTang, похоже, не основан на известных вредоносных программах. Данный факт указывает на то, что хакеры, скорее всего, разработали MQsTTang с нуля, чтобы затруднить обнаружение вредоноса антивирусными продуктами.
Также в апреле стало известно, что хакеры группы Alloy Taurus используют новый вариант RAT-трояна PingPull и ранее незадокументированный бэкдор Sword2033. PingPull использовался в шпионских атаках группы.