Большинство атакованных организаций расположены в США, Канаде, Гонконге, Турции, Израиле, Индии, Черногории и Италии.
https://www.securitylab.ru/upload/ib...cdcd557a39.jpg
Исследователи в области кибербезопасности из команды Symantec Threat Hunter Team связали крупную шпионскую кампанию с китайской APT-группировкой Cicada (также известной как APT10, Stone Panda, Potassium, Bronze Riverside и команда MenuPass). Кибератаки начались в середине 2021 года и продолжались до февраля 2022 года.
«Жертвами кампании Cicada стали правительственные, юридические, религиозные и неправительственные организации во многих странах мира, в том числе в Европе, Азии и Северной Америке», — сообщили специалисты.
Большинство атакованных организаций расположены в США, Канаде, Гонконге, Турции, Израиле, Индии, Черногории и Италии, наряду с одной жертвой в Японии. Как отметили эксперты, в некоторых случаях хакеры находились в сетях жертв на протяжении девяти месяцев.
В марте 2021 года исследователи из «Лаборатории Касперского» раскрыли операцию по сбору информации, предпринятую группировкой для установки имплантатов в ряде отраслей промышленности, расположенных в Японии. Затем в феврале нынешнего года APT была замешана в организованной атаке на цепочку поставок финансового сектора Тайваня с целью кражи конфиденциальной информации из скомпрометированных систем.
Новая серия атак, зафиксированная Symantec, начинается с получения первоначального доступа с помощью неисправленной уязвимости в серверах Microsoft Exchange. Ее эксплуатация позволяет киберпреступникам установить бэкдор SodaMaster. SodaMaster — троян для удаленного доступа для Windows-систем, способный похищать полезные данные и передавать их обратно на командный сервер.
Другие инструменты преступников включают утилиту дампа учетных данных Mimikatz, инструмент NBTScan для проведения внутренней разведки, WMIExec для удаленного выполнения команд и VLC Media Player для запуска пользовательского загрузчика на зараженном хосте.