- 19,455
- 40
- 8 Ноя 2022
Инфраструктура Тайваня под прицелом китайского кибершпионажа.
Специалисты Cisco Talos Для просмотра ссылки Войдиили Зарегистрируйся масштабную кампанию по кибершпионажу, направленную на стратегически важные отрасли Тайваня. Атаки начались не позднее 2023 года и продолжаются по сей день, а организаторы стремятся к долговременному скрытому доступу в системы и к краже конфиденциальных данных. Группировка получила обозначение UAT-5918.
Согласно отчету, основной целью UAT-5918 являются телекоммуникационные, медицинские, IT-компании, а также другие объекты инфраструктуры на территории Тайваня. UAT-5918 демонстрирует явные пересечения в тактике, инструментах и целях с известными кибершпионскими группами Volt Typhoon, Flax Typhoon, Famous Sparrow и Earth Estries, связанными с китайским правительством. Это указывает на тесные связи между участниками кампании и возможное централизованное управление.
Для проникновения злоумышленники эксплуатируют уже известные уязвимости на серверах, подключённых к интернету. После получения доступа хакеры вручную проводят разведку, используя открытую утилиту cmdkey, определяют доступные пользователи и домены, выгружают системную информацию, отключают защитные механизмы и разворачивают инструменты для дальнейшего перемещения по сети. В числе используемого ПО — Mimikatz, Impacket, Earthworm, Neo-reGeorg, LaZagne и другие. Киберпреступники стремятся оставить как можно больше точек входа — от веб-шеллов до новых аккаунтов администраторов.
Отличительная черта UAT-5918 — использование открытых и плохо замаскированных инструментов, что позволяет оставаться в тени на фоне системного шума. Среди применяемых техник — обратные прокси-соединения через FRP и Neo-reGeorg, сканирование портов с помощью FScan и In-Swor, извлечение паролей из реестра и браузеров, создание новых пользователей в домене и внедрение Meterpreter-оболочек для устойчивого доступа.
Создание скрытых учётных записей с правами администратора фиксировалось почти во всех эпизодах. Это позволило злоумышленникам закрепиться в инфраструктуре и обойти дополнительные уровни защиты, включая двухфакторную аутентификацию и сетевые политики доступа.
Напомним, что недавно Китай разоблачил Для просмотра ссылки Войдиили Зарегистрируйся «тайваньской независимости», которые были Для просмотра ссылки Войди или Зарегистрируйся на материковый Китай.
Volt Typhoon действует на протяжении последних пяти лет, Для просмотра ссылки Войдиили Зарегистрируйся США — от портов до энергетических сетей. Хакеры внедряли вредоносное ПО, которое Для просмотра ссылки Войди или Зарегистрируйся для дестабилизации общества, особенно в случае потенциального конфликта вокруг Тайваня. Salt Typhoon, выявленная летом 2024 года, за 2 года Для просмотра ссылки Войди или Зарегистрируйся и десятки аналогичных организаций по всему миру.
Федеральная комиссия по связи США (FCC) Для просмотра ссылки Войдиили Зарегистрируйся от кибератак и создать специальный Совет национальной безопасности. Новый орган займётся борьбой с Для просмотра ссылки Войди или Зарегистрируйся со стороны Китая и поможет США сохранять позиции в сфере искусственного интеллекта и 5G-технологий.
Кроме того, группа республиканцев в Сенате США Для просмотра ссылки Войдиили Зарегистрируйся против Китая. Причиной для такого шага стали недавние хакерские атаки, связанные с китайскими спецслужбами, которые затронули важные американские сети.
Специалисты Cisco Talos Для просмотра ссылки Войди
Согласно отчету, основной целью UAT-5918 являются телекоммуникационные, медицинские, IT-компании, а также другие объекты инфраструктуры на территории Тайваня. UAT-5918 демонстрирует явные пересечения в тактике, инструментах и целях с известными кибершпионскими группами Volt Typhoon, Flax Typhoon, Famous Sparrow и Earth Estries, связанными с китайским правительством. Это указывает на тесные связи между участниками кампании и возможное централизованное управление.
Для проникновения злоумышленники эксплуатируют уже известные уязвимости на серверах, подключённых к интернету. После получения доступа хакеры вручную проводят разведку, используя открытую утилиту cmdkey, определяют доступные пользователи и домены, выгружают системную информацию, отключают защитные механизмы и разворачивают инструменты для дальнейшего перемещения по сети. В числе используемого ПО — Mimikatz, Impacket, Earthworm, Neo-reGeorg, LaZagne и другие. Киберпреступники стремятся оставить как можно больше точек входа — от веб-шеллов до новых аккаунтов администраторов.
Отличительная черта UAT-5918 — использование открытых и плохо замаскированных инструментов, что позволяет оставаться в тени на фоне системного шума. Среди применяемых техник — обратные прокси-соединения через FRP и Neo-reGeorg, сканирование портов с помощью FScan и In-Swor, извлечение паролей из реестра и браузеров, создание новых пользователей в домене и внедрение Meterpreter-оболочек для устойчивого доступа.
Создание скрытых учётных записей с правами администратора фиксировалось почти во всех эпизодах. Это позволило злоумышленникам закрепиться в инфраструктуре и обойти дополнительные уровни защиты, включая двухфакторную аутентификацию и сетевые политики доступа.
Напомним, что недавно Китай разоблачил Для просмотра ссылки Войди
Volt Typhoon действует на протяжении последних пяти лет, Для просмотра ссылки Войди
Федеральная комиссия по связи США (FCC) Для просмотра ссылки Войди
Кроме того, группа республиканцев в Сенате США Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
