Китайская группировка Salt Typhoon использует новый бэкдор GhostSpider для атак на телекоммуникационные компании. Новый инструмент был замечен в ходе атак на критически важную инфраструктуру и правительственные организации по всему миру.
Кроме GhostSpider, Salt Typhoon применяет другие инструменты, включая Linux-бэкдор Masol RAT, руткит Demodex и модульный бэкдор SnappyBee, который также используется другими китайскими APT-группами.
Trend Micro выделиладве основные операции Salt Typhoon. Первая, под названием Alpha, была направлена на правительство Тайваня и химические компании. В кампании использовались вирусы Demodex и SnappyBee. Вторая операция, Beta, нацелена на длительный шпионаж в Юго-Восточной Азии. Здесь применялись GhostSpider и Demodex.
Для взлома группа использует уязвимости в популярных программах и сервисах, таких как Ivanti Connect Secure VPN, Fortinet FortiClient EMS, Sophos Firewall, Microsoft Exchange. После взлома хакеры применяют специальные инструменты для сбора данных и перемещения по внутренней сети.
GhostSpider – модульный бэкдор, предназначенный для длительных операций шпионажа. Его отличает высокий уровень скрытности: инструмент работает исключительно в оперативной памяти и использует шифрование. Бэкдор загружается через DLL Hijacking, регистрируется как служба с помощью “regsvr32.exe” и взаимодействует с сервером управления через зашифрованные команды в HTTP-заголовках и cookie.
Основные функции GhostSpider включают:
- Загрузка и выполнение модулей в памяти;
- Эксплуатация данных жертвы и манипуляции системой;
- Поддержание связи с сервером для координации атак.
В арсенал группы также входят:
- SnappyBee: бэкдор для долгосрочного доступа и шпионажа;
- Masol RAT: кроссплатформенный бэкдор для Linux;
- Demodex: руткит для сокрытия присутствия;
- ShadowPad: модульная платформа для развертывания вредоносных плагинов;
- Cobalt Strike и другие инструменты для эскалации привилегий и удаленного управления.
Специалисты подчеркивают, что Salt Typhoon продолжает развивать свои методы, используя как собственные разработки, так и широкодоступные инструменты, усложняя их атрибуцию. Специалисты Trend Micro настоятельно рекомендуют организациям усиливать многослойную киберзащиту для предотвращения подобных атак.
Trend Micro сообщает, что атаки Salt Typhoon охватывают телекоммуникационные, государственные, технологические, консалтинговые, химические и транспортные секторы в США, Азиатско-Тихоокеанском регионе, на Ближнем Востоке, в Южной Африке и других регионах. Подтверждено не менее двадцати случаев успешных компрометаций критически важных организаций, включая их поставщиков.
Группировка, известная также под названиями Earth Estries, GhostEmperor и UNC2286, активно действует с 2019 года, нацеливаясь на правительственные учреждения и телекоммуникационные компании. Недавно в США подтвердили причастность группы к успешным взломам таких компаний, как Verizon, AT&T, Lumen Technologies и T-Mobile. В результате атак хакеры получили доступ к частной переписке некоторых американских чиновников и системам, которые используются для прослушивания по судебным запросам.
На прошлой неделе лидеры крупнейших американских телекоммуникационных компаний встретились в Белом доме для обсуждения масштабного проникновения китайских хакеров в системы связи. Группа Salt Typhoon незаметно находилась внутри сетей крупнейших телекоммуникационных компаний США почти год.