Chińscy hakerzy używają niewidzianych dotąd metod

Nowa grupa chińskich hakerów stosuje nietuzinkowe metody cyberataków. Ich celami są głównie firmy i instytucje mieszczące się w Stanach Zjednoczonych.

  • Damian Jemioło
  • /
  • 30 czerwca 2023

Nowa grupa chińskich hakerów

Grupa Volt Typhoon, zwana również Bronze Silhouette, jest związana z atakami na rząd Stanów Zjednoczonych, sektor obronny i inne ważne infrastruktury. Organizacja ta została odkryta stosunkowo niedawno i działa co najmniej od połowy 2020 r. Jak się okazuje – współpracuje m.in. z firmami handlowymi, aby zdalnie atakować wybrane cele.

Północnokoreańscy hakerzy mają nowe złośliwe oprogramowaniePółnocnokoreańscy hakerzy mają nowe złośliwe oprogramowanieDamian Jemioło

Informacje o Volt Typhon ujawniła firma CrowdStrike, specjalizującej się w cyberbezpieczeństwie. Śledzi ona już analogiczną organizację – o nazwie Vanguard Panda. 

Według informacji CrowdStrike chińscy hakerzy wykorzystują lukę w programie ManageEngine Self-service Plus do zdobycia początkowego dostępu, a następnie korzystają z niestandardowych narzędzi sieciowych i technik, aby utrzymać dostęp.

Chińscy hakerzy zaliczyli wpadkę?

Grupa ta jest opisana jako zagrożenie, które preferuje wykorzystanie trwałych narzędzi sieciowych i stosuje krótkie okresy aktywności, głównie w postaci plików binarnych ukrytych poza zasięgiem, aby osiągnąć swoje cele.

W jednym przypadku Volt Typhon próbował przeprowadzić atak na nieokreśloną organizację, wykorzystując usługę Zoho ManageEngine ADSelfService Plus, działającą na serwerze Apache Tomcat. Jak wykazały analizy dzienników dostępu, przeprowadzono podejrzane żądania HTTP POST do /html/promotion/selfsdp.jspx. Były one zamaskowane jako legalne rozwiązanie zabezpieczające tożsamość, aby uniknąć wykrycia.

Prawdopodobnie hakerzy wykorzystali luki w zabezpieczeniach (CVE-2021-40539), co pozwoliło na zdalne wykonanie kodu i włamanie się do środowiska ManageEngine. Istnieje podejrzenie, że Chińczycy usunęli dowody i manipulowali logami dostępu, aby zatrzeć ślady swojej działalności. Jednak popełnili błąd przez nieusunięcie źródła Java i skompilowanych plików klas, co doprowadziło do wykrycia większej liczby narzędzi sieciowych i backdoorów.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Chińscy hakerzy wyjątkowo groźni

Według ekspertów z firmy CrowdStrike, wykorzystanie zainfekowanego narzędzia Apache Tomcat jako backdoor jest nowym i nieznacznie znanym sposobem działania grupy Vanguard Panda. Jest ono używane w celu utrzymania trwałego dostępu do celów o dużej wartości, które zostały wybrane po początkowym ataku przy użyciu tzw. luk zero-day.

Ponad 100 tys. danych z ChatGPT trafiło do darknetuPonad 100 tys. danych z ChatGPT trafiło do darknetuDamian Jemioło

Tom Etheridge wyjaśnił, że grupa Vanguard Panda miała zaawansowaną wiedzę na temat środowiska swoich celów. To wskazuje na to, że przeciwnicy przeprowadzili szczegółowe rozpoznanie przed atakiem i byli zdeterminowani, aby nie zostać wykrytymi nawet po wdrożeniu technologii bezpieczeństwa.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu
Tagi: naruszenia bezpieczeństwo w sieci bezpieczeństwo w firmie bezpieczeństwo informacji
Powiązane posty
Popularne Tagi

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!