Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Mandiant рассказал как Китай использует USB-устройства для шпионажа (http://txgate.io:443/showthread.php?t=11063)

Artifact 05-09-2025 11:21 PM

Эта кампания показала, как Китай использует киберпространство в своих интересах.
https://www.securitylab.ru/upload/ib...p1z0a8a73.jpeg
Согласно новому отчету Mandiant, предположительно связанная с Китаем группировка проводила серию шпионских атак на Филиппинах, используя USB-устройства в качестве начального вектора заражения.
Mandiant отслеживает кластер угроз под своим неклассифицированным названием UNC4191. Согласно анализу артефактов, использованных при вторжениях, кампания проводилась в сентябре 2021 года.
Атаки затронули ряд организаций государственного и частного секторов, в первую очередь в Юго-Восточной Азии, а также в США, Европе и Азиатско-Тихоокеанском регионе. Однако, даже когда целевые организации находились в других местах, определенные системы, на которые нацелена UNC4191, также оказывались физически расположенными на Филиппинах.
По словам экспертов, атаки привели к развертыванию новых семейств вредоносных программ под названием MISTCLOAK, DARKDEW, BLUEHAZE, а также Ncat – сетевая утилита командной строки, которая используется для создания обратной оболочки в системе жертвы.
https://www.securitylab.ru/upload/im...t-img(839).png
Цепочка атак UNC4191
Когда пользователь подключает к компьютеру скомпрометированное USB-устройство, активируется MISTCLOAK, выступая в качестве панели запуска для зашифрованной полезной нагрузки DARKDEW. DARKDEW, в свою очередь, заражает съемные диски, распространяется на дополнительные системы и собирает данные из Air Gap систем ( воздушный зазор ).
Кроме того, DARKDEW также предназначен для запуска исполняемого файла («DateCheck.exe») – переименованной версии легитимного приложения «Razer Chromium Render Process», которая разворачивает вредоносное ПО BLUEHAZE. BLUEHAZE запускает копию Ncat для создания обратной оболочки по жестко запрограммированному адресу сервера управления и контроля (C&C).
Исследователи считают, что эта кампания демонстрирует действия Китая по получению и сохранению доступа к государственным и частным организациям в целях сбора разведданных, связанных с политическими и коммерческими интересами страны.


All times are GMT. The time now is 01:19 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.