Новости От NBTscan до Yasso: как китайские хакеры незаметно атакуют своих жертв

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Открытый код становится мощным оружием в руках умелых стратегов.


c1htp1ofu4q6g0hk46w3437f848vukuy.jpg


В конце мая специалисты из Natto Team Для просмотра ссылки Войди или Зарегистрируйся методы разведки и инструментарий хакерской группы APT41, связанной с китайскими угрозами. Продолжая своё расследование, эксперты опубликовали Для просмотра ссылки Войди или Зарегистрируйся в котором сообщили об ещё нескольких китайских группировках, использующих аналогичные методы и инструменты.

За последние десять лет как минимум три китайские хакерские группы, такие как APT10, GALLIUM и Stately Taurus, применяли NBTscan или его модифицированную версию. Этот инструмент, предназначенный для поиска информации о системах в сети, позволяет сканировать IP-адреса и получать данные о пользователях, имени компьютера и MAC-адресах.

APT10, связанная с Министерством государственной безопасности Китая, использовала NBTscan в операциях Cloud Hopper и Soft Cell для поиска интересующих сервисов на сетевых устройствах. Группа GALLIUM, по данным Microsoft, использовала этот инструмент для атаки на глобальных телекоммуникационных провайдеров в 2019 году. А знаменитая Mustang Panda, действующая в Юго-Восточной Азии, также использовала NBTscan для сканирования и изучения сетей жертв.

Группа APT40, активная с 2009 года, использует вредоносный инструмент ScanBox, позволяющий собирать данные с заражённых систем без необходимости установки программного обеспечения. Этот фреймворк, написанный на JavaScript, собирает информацию о системе пользователя, включая операционную систему, браузеры, антивирусы и другие программы. ScanBox также может регистрировать нажатия клавиш, что делает его опасным инструментом для кражи паролей и другой конфиденциальной информации.

В мае 2024 года исследователи из Palo Alto Networks Для просмотра ссылки Войди или Зарегистрируйся о кампании Diplomatic Specter, направленной на правительственные структуры в странах Ближнего Востока, Африки и Азии. В рамках этой кампании китайская группа TGR-STA-0043 использовала инструменты LadonGo и Yasso. Yasso — новый набор инструментов, появившийся в 2022 году, который включает функции для SQL-проникновения, сканирования и выполнения команд. Разработчиком Yasso является китайский специалист по безопасности, известный в сети под псевдонимом SaiRson.

Кроме известных инструментов, китайские хакеры активно используют различные открытые решения. Например, группа Earth Krahang часто использует такие инструменты, как sqlmap и nuclei, для поиска уязвимостей в серверах. Некоторые из этих инструментов были разработаны китайскими разработчиками.

С полным перечнем хакерских инструментов, которые активно применяют различные китайские кибергруппировки, можно ознакомиться на изображении ниже:


y3kxpqi5idqlrma6uq91sd9hg7b49ebz.png


Исследователи отмечают, что использование сканирующих инструментов, как известных, так и открытых, остаётся одной из ключевых стратегий китайских хакеров для поиска уязвимостей и дальнейших атак. Это указывает на необходимость комплексного подхода к защите информационных систем, включающего не только технические меры, но и международное сотрудничество в сфере кибербезопасности.

Ситуация также подчёркивает важность постоянного обучения и бдительности в отношении новых методов кибератак для всех участников цифрового пространства.
 
Источник новости
www.securitylab.ru

Похожие темы