Интересно Китайская хакерская группировка APT16

E

_Emma_

Original poster
Для кибершпионажа в поднебесной,помимо постоянных структур таких подразделений НОАК и госбезопасности,также крупные хакеры для самой грязной работы используют вольнонаемных команд хакеров.Так как в случае того что общественность у узнать о их не совсем хороших планах,репутационный ущерб правительству был не столь значимым.


APT16
Малоизвестная группа преимущественно атакующая тайваньских политических активистов,японское правительство и журналистом. Также есть не мало сведений что также данная группировка существует под названиями pTaiwan, SVCMONDR и Danti group или имеет простое сотрудничество с ними.

В атаках APT16 используют бестелесный HTTP бэкдор - Elmer, с функциями обнаружения и обхода прокси.

В 2015 году APT16 успешно воспользовалась эксплоитом для удаленного запуска произвольного кода в MS Office при том, что на момент начала фишинговой кампании патч для этой

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

был уже полгода как написан. Жертвам просто рассылались письма с файлом .docx, который из-за ошибки в обработке внедренного векторного рисунка (EPS) позволял выполнить произвольный код (в данном случае — установить в системе обратный шелл) при попытке его открыть.



Можно дополнительно сказать об использивания APT16 трояна-даунлоадера IRONHALE .Он маскировался под видом Acrobat Reader в автозапуске.

При каждом запуске командный сервер спрашивал о необходимости загрузить что либо на компьютер жертвы.

При положительным ответе,нужный компонент загружался последовательностью строк BASE64. Он сохранялся как временный файл с рандомным имением и имел расширение .dat , после файл декодировался и менял название и скрытно запускался.При помощи эксплойта

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

повышались привилегии .


APT16 провела 3 больших фишинговые атаки,после чео залегла на дно либо обьеденилась с другой группой!(действия проходили с осени 2015 до лета 2016)
 

SuPro

Member
Сообщения
37
Реакции
22
Посетить сайт

А вот это было необязательно. В целом я представляю как работает выдача прав администратора, так как есть программы с определенными привилегиями (на Виндоус). Есть прошивки usb контроллеров, которые позволяют также по образу на флешке выполнить нужные действия, не используя даже физически клавиатуру, мож
но заполучить доступ к пк. Просто мне стало интересно, на какой именно системе пробовали эксплойт и с помощью каких инструментов его внедряли (через физическую или виртуальную сеть). Раз автор данного поста располагает такими возможностями и доступом к информации, то явно знает и саму схему внедрения, поэтому и спросил
 
A

askanton

Original poster
А вот это было необязательно. В целом я представляю как работает выдача прав администратора, так как есть программы с определенными привилегиями (на Виндоус). Есть прошивки usb контроллеров, которые позволяют также по образу на флешке выполнить нужные действия, не используя даже физически клавиатуру, мож
но заполучить доступ к пк. Просто мне стало интересно, на какой именно системе пробовали эксплойт и с помощью каких инструментов его внедряли (через физическую или виртуальную сеть). Раз автор данного поста располагает такими возможностями и доступом к информации, то явно знает и саму схему внедрения, поэтому и спросил
Обязательно!)