Переход группы на цели из США может означать обострение киберконфликта между США и Китаем.
Исследователи Symantec сообщили, что связанная с Китаем кибершпионская группировка Budworm (также известная как APT27, Bronze Union, Emissary Panda, Lucky Mouse, TG-3390 и Red Phoenix) стоит за серией атак, проведенных за последние 6 месяцев против высокопоставленных целей по всему миру, включая:
- правительства стран Ближнего Востока;
- международного производителя электроники;
- законодательный орган штата США;
- больница в Юго-Восточной Азии.
Эксперты заявили, что это первый случай, когда группа Budworm атакует американскую организацию.
В атаках APT-группа использовала уязвимости Log4j ( CVE-2021-44228 и CVE-2021-45105 ) для установки веб-оболочек на целевых серверах. Злоумышленники использовали VPS-серверы, размещенные на Vultr и Telstra, в качестве серверов управления и контроля (C&C).
Также киберпреступники продолжают использовать бэкдор HyperBro , который предназначен для загрузки вредоносных DLL-библиотек (методом боковой загрузки) и шифрования полезной нагрузки. В недавних атаках группировка использовала ПО для управления привилегиями конечных точек CyberArk Viewfinity для выполнения боковой загрузки.
Кроме того, хакеры также используют троян PlugX совместно со следующими инструментами:
- Cobalt Strike для загрузки шелл-кода на компьютер жертвы;
- LaZagne для сброса учетных данных;
- IOX – общедоступный прокси-сервер и инструмент для переадресации портов;
- Fast Reverse Proxy (FRP) для создания обратного прокси;
- Fscan для сканирования интрасети.
Эксперты заявили, что в последние годы деятельность группы была сосредоточена на Азии, Ближнем Востоке и Европе. Возобновление атак на объекты США может сигнализировать об изменении вектора группировки.
03-15-2025, 08:51 PM
Linear Mode
