Новости Symantec: китайская группировка Blackfly терроризирует компании Азии

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022

Хакеры используют инструменты с открытым исходным кодом и похищают конфиденциальные данные организаций.​


s00pl9z7q4teehtlp2yylvrwpczdtnjx.jpg


Исследователи безопасности из ИБ-компании Для просмотра ссылки Войди или Зарегистрируйся заявили, что китайская APT-группа Blackfly (APT41, Winnti Group, Bronze Atlas) проводит шпионскую кампанию против двух дочерних компаний азиатского конгломерата, которые работают в секторе материалов и композитов.

Эксперты предполагают, что эта атака является частью более крупной продолжающейся шпионской кампании, направленной на кражу интеллектуальной собственности организаций в Азии.

Согласно Для просмотра ссылки Войди или Зарегистрируйся , последняя активность Blackfly наблюдалась в конце 2022 года и начале 2023 года. В своих атаках группа использует инструменты с открытым исходным кодом.

  • Руткит Backdoor.Winnkit;
  • Средство создания дампа учетных данных «lsass.exe» в C:\windows\temp\1.bin;
  • Инструмент для создания снимков экрана;
  • Инструмент для подмены процессов ( Для просмотра ссылки Войди или Зарегистрируйся ). Внедряет шелл-код в «C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted». Шелл-код представляет собой простое сообщение «Hello World»;
  • Инструмент для запросов к базам данных SQL;
  • Для просмотра ссылки Войди или Зарегистрируйся ;
  • ForkPlayground. PoC-бэкдор для создания дампа памяти произвольного процесса с использованием библиотеки ForkLib;
  • Инструмент настройки прокси. Настраивает параметры прокси, внедряя в: «C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted»;

Blackfly — одна из старейших известных китайских APT-групп, активная как минимум с 2010 года. Ранние атаки отличались использованием Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся и семейства вредоносных программ Для просмотра ссылки Войди или Зарегистрируйся .

Первоначально группа сделала себе имя благодаря атакам на индустрию Для просмотра ссылки Войди или Зарегистрируйся . Впоследствии он расширился до более широкого круга целей, включая организации в полупроводниковой промышленности, телекоммуникациях, производстве материалов, фармацевтике, СМИ и рекламе, гостиничном бизнесе, природных ресурсах, финансовых технологиях и пищевой промышленности.
 
Источник новости
www.securitylab.ru

Похожие темы