Скрытные хакеры Grayling наносят киберудар по тайваньским учреждениям

[Artifact]

Неизвестная группа атакует биомедицинские корпорации, но какие у неё мотивы?
Неизвестная до этого момента хакерская группировка стоит за рядом атак, нацеленных на организации в области производства, IT и биомедицины на Тайване.
Команда исследователей из Symantec отнесла эти атаки к APT-группе под названием Grayling. Согласно данным специалистов, вредоносная кампания началась в феврале этого года и продолжалась по крайней мере до мая.
Вероятными целями в рамках этой деятельности, помимо тайваньских организаций, также стали правительственные учреждения, расположенные на островах Тихого океана, а также организации во Вьетнаме и США.
Особенностью данной активности стало использование хакерами Grayling уникальной техники DLL Sideloading, использующей кастомный дешифратор для развёртывания полезных нагрузок. «Мотивацией, стимулирующей эту деятельность, по-видимому, является сбор разведданных», — отмечается в отчёте Symantec.
В качестве начальной точки взлома исследователи упоминают эксплуатацию общедоступной инфраструктуры с последующим развёртыванием веб-оболочек для постоянного доступа.
Цепочки атаки активно используют технику DLL Sideloading через SbieDll_Hook для последующего применения таких инструментов, как Cobalt Strike, NetSpy и Havoc Framework, а также дополнительных инструментов вроде Mimikatz.
DLL Sideloading — это популярный метод, используемый различными участниками угроз для обхода решений безопасности и обмана операционной системы Windows с целью выполнения вредоносного кода на целевой конечной точке.
«Получив первоначальный доступ к компьютерам жертв, злоумышленники предпринимают различные действия, включая повышение привилегий, сканирование сети и использование загрузчиков», — заявили в Symantec.
Стоит отметить, что использование DLL Sideloading в отношении SbieDll_Hook и SandboxieBITS.exe ранее наблюдалось в случае с APT-группой Naikon при атаках на военные организации в Юго-Восточной Азии. Однако между Grayling и Naikon пересечений специалистами обнаружено не было.
На сегодняшний день нет никаких доказательств того, что хакеры Grayling обменяли или продали полученную в ходе своей операции информацию. Эксперты предполагают, что мотивы группировки больше направлены на сбор разведданных.
Использование общедоступных инструментов рассматривается исследователями как попытка усложнить процесс определения источника атак, в то время как завершение системных процессов указывает на то, что уклонение от обнаружения является приоритетом этих киберпреступников, чтобы оставаться незамеченными в течение как можно более длительного периода времени.
«Интенсивная направленность на тайваньские организации указывает на то, что Grayling, вероятно, действуют из региона со стратегическим интересом к Тайваню», — добавили в компании Symantec.