Чтобы внедрить бэкдор, злоумышленники воспользовались уязвимостью Follina и брешью в защите Sophos Firewall.
https://www.securitylab.ru/upload/ib...0pdnyqim23.jpg
По данным Recorded Future , целью китайской группировки TA413 был шпионаж за организациями, которые связаны с тибетскими сообществом и правительством. Злоумышленники использовали CVE-2022-1040 (критическая RCE-уязвимость в Sophos Firewall) и CVE-2022-30190 (печально известная "Follina").
TA413, которая также известная как LuckyCat, с 2020 года приписывается множество атак, направленных на тибетские организации. В арсенале хакеров есть вредоносы ExileRAT, Sepulcher, а также вредоносный аддон для браузера Mozilla Firefox под названием FriarFox.
А про то, что группировка использует Follina, было известно еще в июне 2022 года. Неясным оставалось только одно – жертва злоумышленников.
Кроме того, в мае этого же года хакеры применили Royal Road – излюбленный инструмент целого ряда китайских хакерских группировок, в частности Goblin Panda, Rancor Group, TA428, Tick и Tonto Team, которые используют его в целенаправленных фишинговых атаках с конца 2018 года. Злоумышленники эксплуатируют уязвимости в Microsoft Equation Editor ( CVE-2017-11882 , CVE-2018-0798 и CVE-2018-0802 ) и используют вредоносные RTF-документы для доставки кастомного вредоносного ПО на системы ничего не подозревающих жертв.
В обеих атаках хакеры пытались внедрить в системы жертв бэкдор LOWZERO, способный получать дополнительные модули со своего C&C-сервера, но только при условии, что скомпрометированное устройство представляет интерес для злоумышленников.
Проанализировав деятельность TA413, эксперты пришли к выводу, что китайские группировки все чаще начинают использовать эксплойты до того, как они становятся популярны у группировок по всему миру.