- 19,427
- 40
- 8 Ноя 2022
UNG0002 методично уничтожила кибербезопасность: от военных заводов до больниц.
Кибер Для просмотра ссылки Войдиили Зарегистрируйся в Азии обостряется: специалисты Seqrite Labs Для просмотра ссылки Войди или Зарегистрируйся об активности группировки UNG0002, также известной как Unknown Group 0002. Эта малоизвестная, но технически подготовленная структура проводит масштабные атаки на стратегически важные отрасли в Китае, Гонконге и Пакистане. В фокусе её внимания — оборонная промышленность, электроинженерия, энергетика, гражданская авиация, медицинские учреждения, университеты, IT-компании и даже сфера видеоигр.
Согласно последнему отчёту Seqrite Labs, UNG0002 проявляет явное предпочтение к использованию LNK-ярлыков, сценариев VBScript и постэксплуатационных инструментов вроде Cobalt Strike и Metasploit. Чтобы заманить жертву, злоумышленники рассылают поддельные документы, стилизованные под резюме, что делает атаки особенно правдоподобными. Анализ проводился специалистом Субхаджитом Сингхой, который подчеркнул высокий уровень адаптивности и методичности злоумышленников.
Группа развернула две крупные операции — Cobalt Whisper и AmberMist. Первая активизировалась с мая по сентябрь 2024 года, а вторая — с января по май 2025 года. Обе кампании основывались на фишинговых рассылках: вредоносные ZIP-архивы и LNK-файлы срабатывали как триггеры сложных цепочек заражения.
Операция Cobalt Whisper была впервые зафиксирована в октябре 2024 года. Тогда специалисты сообщили, что ZIP-файлы, отправленные по электронной почте, скрывали LNK и VBScript, с помощью которых на заражённую систему устанавливались модули Cobalt Strike — мощного инструмента для постэксплуатационного контроля.
В ходе более поздней операции AmberMist злоумышленники отправляли якобы резюме соискателей в виде LNK-файлов. Они запускали многоступенчатую атаку, в результате которой происходила загрузка троянов INET RAT и Blister DLL. Первый, как предполагается, является модифицированной версией ранее известного шпионского ПО Shadow RAT, а второй используется как загрузчик шеллкода для установки удалённого доступа.
Особый интерес вызывает альтернативный сценарий атаки, зафиксированный в январе 2025 года. Тогда жертв перенаправляли на поддельную страницу, стилизованную под сайт Министерства морских дел Пакистана. Там предлагалось пройти проверку CAPTCHA, а на деле происходил запуск PowerShell-команд с помощью приёма Для просмотра ссылки Войдиили Зарегистрируйся . Эти команды активировали Shadow RAT, устанавливая незаметный канал связи с сервером злоумышленников.
Функциональность вредоносных программ, задействованных в кампании, поражает: Shadow RAT, например, использует Для просмотра ссылки Войдиили Зарегистрируйся и поддерживает удалённое выполнение команд, что делает его незаметным для многих систем защиты. Сценарий атаки постоянно дорабатывается, а технический арсенал совершенствуется. При этом методы заражения — фишинговые письма, подделка официальных сайтов, использование актуальных приманок — остаются стабильными.
Хотя прямые доказательства происхождения UNG0002 отсутствуют, косвенные признаки указывают на регион Южной или Юго-Восточной Азии. Специалисты называют эту группу стойкой и крайне изобретательной: несмотря на обнаружение некоторых её инструментов, она продолжает развивать инфраструктуру, наращивать арсенал и не теряет активности.
События подтверждают нарастающий тренд: фишинг и DLL Sideloading остаются эффективными в кибершпионаже, а целевые атаки против ключевых отраслей — стратегическим направлением, которое продолжит развиваться.
Кибер Для просмотра ссылки Войди
Согласно последнему отчёту Seqrite Labs, UNG0002 проявляет явное предпочтение к использованию LNK-ярлыков, сценариев VBScript и постэксплуатационных инструментов вроде Cobalt Strike и Metasploit. Чтобы заманить жертву, злоумышленники рассылают поддельные документы, стилизованные под резюме, что делает атаки особенно правдоподобными. Анализ проводился специалистом Субхаджитом Сингхой, который подчеркнул высокий уровень адаптивности и методичности злоумышленников.
Группа развернула две крупные операции — Cobalt Whisper и AmberMist. Первая активизировалась с мая по сентябрь 2024 года, а вторая — с января по май 2025 года. Обе кампании основывались на фишинговых рассылках: вредоносные ZIP-архивы и LNK-файлы срабатывали как триггеры сложных цепочек заражения.
Операция Cobalt Whisper была впервые зафиксирована в октябре 2024 года. Тогда специалисты сообщили, что ZIP-файлы, отправленные по электронной почте, скрывали LNK и VBScript, с помощью которых на заражённую систему устанавливались модули Cobalt Strike — мощного инструмента для постэксплуатационного контроля.
В ходе более поздней операции AmberMist злоумышленники отправляли якобы резюме соискателей в виде LNK-файлов. Они запускали многоступенчатую атаку, в результате которой происходила загрузка троянов INET RAT и Blister DLL. Первый, как предполагается, является модифицированной версией ранее известного шпионского ПО Shadow RAT, а второй используется как загрузчик шеллкода для установки удалённого доступа.
Особый интерес вызывает альтернативный сценарий атаки, зафиксированный в январе 2025 года. Тогда жертв перенаправляли на поддельную страницу, стилизованную под сайт Министерства морских дел Пакистана. Там предлагалось пройти проверку CAPTCHA, а на деле происходил запуск PowerShell-команд с помощью приёма Для просмотра ссылки Войди
Функциональность вредоносных программ, задействованных в кампании, поражает: Shadow RAT, например, использует Для просмотра ссылки Войди
Хотя прямые доказательства происхождения UNG0002 отсутствуют, косвенные признаки указывают на регион Южной или Юго-Восточной Азии. Специалисты называют эту группу стойкой и крайне изобретательной: несмотря на обнаружение некоторых её инструментов, она продолжает развивать инфраструктуру, наращивать арсенал и не теряет активности.
События подтверждают нарастающий тренд: фишинг и DLL Sideloading остаются эффективными в кибершпионаже, а целевые атаки против ключевых отраслей — стратегическим направлением, которое продолжит развиваться.
- Источник новости
- www.securitylab.ru
