Chińscy hakerzy używają niewidzianych dotąd metod
Nowa grupa chińskich hakerów stosuje nietuzinkowe metody cyberataków. Ich celami są głównie firmy i instytucje mieszczące się w Stanach Zjednoczonych.
- Damian Jemioło
- /
- 30 czerwca 2023
Nowa grupa chińskich hakerów
Grupa Volt Typhoon, zwana również Bronze Silhouette, jest związana z atakami na rząd Stanów Zjednoczonych, sektor obronny i inne ważne infrastruktury. Organizacja ta została odkryta stosunkowo niedawno i działa co najmniej od połowy 2020 r. Jak się okazuje – współpracuje m.in. z firmami handlowymi, aby zdalnie atakować wybrane cele.
Północnokoreańscy hakerzy mają nowe złośliwe oprogramowanieDamian Jemioło
Informacje o Volt Typhon ujawniła firma CrowdStrike, specjalizującej się w cyberbezpieczeństwie. Śledzi ona już analogiczną organizację – o nazwie Vanguard Panda.
Według informacji CrowdStrike chińscy hakerzy wykorzystują lukę w programie ManageEngine Self-service Plus do zdobycia początkowego dostępu, a następnie korzystają z niestandardowych narzędzi sieciowych i technik, aby utrzymać dostęp.
Chińscy hakerzy zaliczyli wpadkę?
Grupa ta jest opisana jako zagrożenie, które preferuje wykorzystanie trwałych narzędzi sieciowych i stosuje krótkie okresy aktywności, głównie w postaci plików binarnych ukrytych poza zasięgiem, aby osiągnąć swoje cele.
W jednym przypadku Volt Typhon próbował przeprowadzić atak na nieokreśloną organizację, wykorzystując usługę Zoho ManageEngine ADSelfService Plus, działającą na serwerze Apache Tomcat. Jak wykazały analizy dzienników dostępu, przeprowadzono podejrzane żądania HTTP POST do /html/promotion/selfsdp.jspx. Były one zamaskowane jako legalne rozwiązanie zabezpieczające tożsamość, aby uniknąć wykrycia.
Prawdopodobnie hakerzy wykorzystali luki w zabezpieczeniach (CVE-2021-40539), co pozwoliło na zdalne wykonanie kodu i włamanie się do środowiska ManageEngine. Istnieje podejrzenie, że Chińczycy usunęli dowody i manipulowali logami dostępu, aby zatrzeć ślady swojej działalności. Jednak popełnili błąd przez nieusunięcie źródła Java i skompilowanych plików klas, co doprowadziło do wykrycia większej liczby narzędzi sieciowych i backdoorów.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Chińscy hakerzy wyjątkowo groźni
Według ekspertów z firmy CrowdStrike, wykorzystanie zainfekowanego narzędzia Apache Tomcat jako backdoor jest nowym i nieznacznie znanym sposobem działania grupy Vanguard Panda. Jest ono używane w celu utrzymania trwałego dostępu do celów o dużej wartości, które zostały wybrane po początkowym ataku przy użyciu tzw. luk zero-day.
Ponad 100 tys. danych z ChatGPT trafiło do darknetuDamian Jemioło
Tom Etheridge wyjaśnił, że grupa Vanguard Panda miała zaawansowaną wiedzę na temat środowiska swoich celów. To wskazuje na to, że przeciwnicy przeprowadzili szczegółowe rozpoznanie przed atakiem i byli zdeterminowani, aby nie zostać wykrytymi nawet po wdrożeniu technologii bezpieczeństwa.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?