Microsoft je u ponedjeljak pripisao kineskom akteru kibernetičke špijunaže niz napada usmjerenih na diplomatske subjekte u Južnoj Americi.
Tim tehnološkog giganta Security Intelligence prati klaster pod novim imenom DEV-0147, opisujući aktivnost kao “širenje operacija eksfiltracije podataka grupe koje su tradicionalno ciljale vladine agencije i think tank-ove u Aziji i Evropi”.
Kaže se da haker koristi ustaljene hakerske alate kao što je ShadowPad da bi se infiltrisao u mete i održao pristup.
ShadowPad, koji se naziva i PoisonPlug, nasljednik je trojanca za daljinski pristup PlugX i naširoko je korišten od strane kineskih neprijateljskih kolektiva s vezama s Ministarstvom državne sigurnosti (MSS) i Narodnooslobodilačkom vojskom (PLA), prema Secureworks-u.
Jedan od drugih malicioznih korisnih opterećenja koje koristi DEV-0147 je učitavač web paketa koji se zove QuasarLoader, koji omogućava postavljanje dodatnih korisnih opterećenja na kompromitovane host-ove.
Redmond nije otkrio metodu koju bi DEV-0147 mogao koristiti da dobije početni pristup ciljnom okruženju. Međutim, phishing i oportunističko ciljanje nezakrpljenih aplikacija su vjerovatni vektori.
“Napadi DEV-0147 u Južnoj Americi uključivali su aktivnosti nakon eksploatacije koje su uključivale zloupotrebu lokalne identitetske infrastrukture za izviđanje i lateralno kretanje, te korištenje Cobalt Strike-a za komandu i kontrolu i eksfiltraciju podataka”, rekao je Microsoft.
DEV-0147 je daleko od jedine kineske napredne persistentne prijetnje (APT) koja koristi ShadowPad u posljednjih nekoliko mjeseci.
U septembru 2022. godine, NCC Grupa je otkrila detalje napada usmjerenog na neimenovanu organizaciju koja je iskoristila kritičnu grešku u WSO2 (CVE-2022-29464, CVSS rezultat: 9,8) da ispusti web shells i aktivira lanac infekcije koji je doveo do isporuke ShadowPad-a za prikupljanje obavještajnih podataka.
ShadowPad su takođe koristili neidentifikovani hakeri u napadu usmjerenom na ministarstvo vanjskih poslova članicu ASEAN-a kroz uspješnu eksploataciju ranjivog Microsoft Exchange Server-a povezanog na internet.
Aktivnost, koju je Elastic Security Labs nazvala REF2924, primijećena je da dijeli taktičke asocijacije s onima koje su usvojile druge grupe nacionalnih država kao što su Winnti (aka APT41) i ChamelGang.
„Set za upad u REF2924 predstavlja grupu za napade koja se čini fokusiranom na prioritete koji su, kada se posmatraju u kampanjama, u skladu sa sponzorisanim nacionalnim strateškim interesom“, istakla je kompanija.
Činjenica da kineske hakerske grupe nastavljaju da koriste ShadowPad uprkos tome što je dobro dokumentovan tokom godina sugeriše da tehnika donosi određeni uspeh.
Izvor: The Hacker News