«Багровый Дворец»: как синдикаты китайских хакеров проникли в сети Юго-Восточной Азии

Che Browser Antidetect
Сервисы от NOVA

Support81

Original poster
Administrator
Сообщения
618
Реакции
180
Посетить сайт
Длительная кампания показала, как проводится кибершпионаж на государственном уровне.
image



Специалисты

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

выявили сложную и долгосрочную кибершпионскую операцию китайских госхакеров, направленную на поддержание постоянного доступа к сети правительственной организации в Юго-Восточной Азии. Кампания получила название Crimson Palace.

Кибершпионы стремились получить доступ к критически важным ИТ-системам, проводить разведку конкретных пользователей, собирать конфиденциальную военную и техническую информацию, а также разворачивать различные вредоносные программы для удалённого управления.

Хотя имя целевой правительственной организации не было раскрыто, известно, что страна, в которой она находится, имеет постоянные территориальные конфликты с Китаем в Южно-Китайском море. Это позволяет предположить, что речь может идти о Филиппинах, которые ранее уже подвергались атакам китайской группы Mustang Panda.

Операция Crimson Palace включает 3 кластера активности, некоторые из которых используют одинаковые тактики:

  • Кластер Alpha (STAC1248) (март 2023 – август 2023), имеет сходство с группами BackdoorDiplomacy, REF5961, Worok и TA428. Занимается разведкой серверных подсетей и инфраструктуры Active Directory.
  • Кластер Bravo (STAC1870) (с марта 2023), имеет общие черты с Unfading Sea Haze. Используеот действительные учетные записи для бокового перемещения и развертывания вредоноса EtherealGh0st.
  • Кластер Charlie (STAC1305) (март 2023 – апрель 2024), пересекается с Earth Longzhi (подгруппа APT41). Использует PocoProxy для установления постоянного доступа и HUI Loader для доставки Cobalt Strike.

По данным Sophos, являются частью скоординированной кампании, организованной одной группировкой с большим набором инструментов, разнообразной инфраструктурой и несколькими операторами.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.




Пересечение Кластера Alpha с другими субъектами угроз

Кампания примечательна использованием неизвестных ранее вредоносных программ, таких как PocoProxy, а также обновленной версии EAGERBEE и других известных семейств вредоносных программ, включая NUPAKAGE, PowHeartBeat, RUDEBIRD, DOWNTOWN (PhantomNet) и EtherealGh0st (также известный как CCoreDoor).

Также характерными чертами кампании стали обширное использование техники DLL Sideloading и необычные методы скрытности. Злоумышленники использовали множество новых методов обхода защиты:



  • перезапись DLL в памяти для удаления антивирусного агента из ядра;
  • использование антивирусного ПО для боковой загрузки;
  • и другие различные техники для тестирования наиболее эффективных и скрытных методов выполнения задач.




Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.




Различия и совпадения трех кластеров

В отчете Sophos также

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

индикаторы компрометации (IoC) для каждого кластера активности, а пока специалисты продолжают расследовать кампанию, чтобы выяснить дополнительные подробности об атаках. Отметим, что HUI Loader

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

в атаках на игорный сектор Юго-Восточной Азии с целью шпионажа.
Подробнее:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

 
Название темы
Автор Заголовок Раздел Ответы Дата
Support81 Эмодзи как оружие: даже безобидные смайлики способны похитить ваши данные Новости в сети 0
Support81 Мозг на крючке: как социальные сети меняют подростков Новости в сети 0
Support81 Операция «Карусель»: как находчивые мошенники наживаются на рекламодателях Новости в сети 0
Support81 Фишинговые мамонты: как не стать жертвой Scam 1.0 и Scam 2.0? Новости в сети 0
Support81 Уничтожение устройств и слежка за клиентами: как Samsung борется с «левыми» запчастями Новости в сети 0
Support81 Отклонить нельзя собирать: как сайты отслеживают вас даже после отказа от куки Новости в сети 0
Support81 Китайские хакеры прячутся в «слепой зоне»: ORB как новый уровень маскировки Новости в сети 0
Support81 Где и как вы знакомитесь с девушками? Свободное общение и флейм 0
Support81 СМС-спуфинг снова в тренде: как кибермошенники разграбляют жителей Финляндии Новости в сети 0
Support81 Tinyproxy: как «поломанный» канал связи стал причиной уязвимости 50 000 серверов Новости в сети 0
Support81 Цифровой фронт расширяется: как США защищают своих союзников от хакеров Новости в сети 0
Support81 Два новых сервиса от Роскомнадзора: как изменится мониторинг российского интернета Новости в сети 0
Support81 VPN – ловушка для Android: как приложения превращают смартфоны в зомби Новости в сети 0
Emilio_Gaviriya Статья OpenVAS и как с ним работать. Уязвимости и взлом 0
Support81 Острова, бункеры, пиво: как миллиардеры готовятся к возможному концу света Новости в сети 0
Support81 Наказание для Минобороны: как Великобритания «помогла» афганским беженцам скрыться от талибов Новости в сети 0
Support81 Работорговля и вымогательство: как работает фабрика онлайн-мошенничества KK Park Новости в сети 0
Support81 Уничтожение Warzone: как 2 хакера организовали подпольную преступную сеть Новости в сети 0
Emilio_Gaviriya Статья Защита от пробивал: как создать фейковые данные о себе в «Глазе Бога». Анонимность и приватность 3
Support81 Запрет на выплаты вымогателям: как отказ от выкупа усилит атаки на критическую инфраструктуру Новости в сети 0
Support81 Виртуализация как оружие: вредонос FjordPhantom проникает в онлайн-банки жертв Новости в сети 0
V Помогите 50 магазинов доступ в битрикс как монетизировать? Вопросы и интересы 1
Support81 Кибершпионы из Нью-Дели: как индийская IT-фирма взламывала мир Новости в сети 0
Support81 Сеть Webwyrm: как китайские мошенники ограбили тысячи безработных Новости в сети 0
Support81 Вот это поворот: Microsoft Defender стал помечать Tor Browser как вредоносное ПО Новости в сети 2
Support81 VPN в режиме стелс: замаскированные серверы как следующий уровень приватности Новости в сети 0
Support81 Юные британские хакеры взломали десятки организаций по всему миру, как им это удалось? Новости в сети 0
Support81 Telegram как минное поле: новая угроза для пользователей Android Новости в сети 0
Support81 Интересно Основатель McAfee Джон Макафи найден мертвым в испанской тюрьме после того, как суд одобрил его экстрадицию в США Новости в сети 0
lizun Блокчейн-игра IguVerse: как заработать и бесплатно получить NFT-питомца Способы заработка 5
K как получить доступ? как поставить лайк? Информация по работе сайта и форума 1
K как взломать vk Вопросы и интересы 0
G p2p скам| как отменить отправленную транзакцию BTC Способы заработка 2
DOMINUS Кибербуллинг: что это и как с этим бороться? Свободное общение и флейм 1
F как определить способ защиты сохраняемых данных в веб-приложении ? Уязвимости и взлом 0
D как узнать пароль от сервера при помощи брута? Свободное общение и флейм 0
F как искать sql уязвимые сайты Вопросы и интересы 4
MIRASCH Кто знает как можно замаскировать apk-троян? Вопросы и интересы 1
P как извлечь из файлов .bin файлы с помощью UltraISO ? Вопросы и интересы 1
S Телефон как WiFi - адаптер Свободное общение и флейм 3
DOMINUS «Пандемия вымогателей»: с чем связана волна атак хакеров и как она отразится на биткоине Свободное общение и флейм 3
DOMINUS Тайное снятие денег с чужой карты будут квалифицировать как уголовное преступление Новости в сети 0
9 Интересно XSS, или как получить халявные cookie Ч1. Уязвимости и взлом 15
A Солевой генний или как пройти CTF Odin: 1 Полезные статьи 1
T Куплю куплю разные акаунты как vpn, spotify ,netflix, pornhub и многое другое Куплю/Продам 0
Z Подскажите, как и с чего начать изучение кибер безопасности? Вопросы и интересы 10
S PUSH трафик — что это и как заработать. Способы заработка 2
B Простая схема как получить 133$ на рекламу в Google Ads (Adwords) Другое 1
E Хакеры имели доступ к электронной почте SolarWinds как минимум 9 месяцев Новости в сети 0
E Приглашаем к сотрудничеству, как отдельных специалистов, так и команды (в сфере ИТ/ИБ) Предоставляю работу. Ищу специалиста. 0

Название темы