Китайские кибершпионы «одолжили» техники у русских

Blue Sunset

Профессионал
Ветеран пробива
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐⭐⭐
ЗАБАНЕН
Private Club
Регистрация
27/11/16
Сообщения
4.409
Репутация
19.455
Реакции
22.575
RUB
0
Сделок через гаранта
92
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Китайская группировка атаковала британскую инженерную компанию с использованием техник Dragonfly и APT28.


Специалисты компании Recorded Future о недавних атаках на одну из инженерных компаний в Великобритании. Несмотря на использование техник из арсенала «русских хакеров», по мнению исследователей, за инцидентом стоит кибершпионская группировка из Китая.

Речь идет о китайской группировке TEMP.Periscope, также известной как Leviathan. TEMP.Periscope активна уже пять лет и ранее в атаках на предприятия морской и оборонной промышленности.

В июле нынешнего года группировка попыталась атаковать сотрудников британской инженерной компании с помощью целенаправленного В рамках вредоносной кампании злоумышленники также атаковали электронный адрес, предположительно принадлежащий независимому камбоджийскому журналисту, специализирующемуся на вопросах политики, прав человека и развития Китая.

Все атаки осуществлялись через инфраструктуру, ранее используемую TEMP.Periscope. Похоже, злоумышленники повторно использовали тактики, техники и процедуры (TTP) из арсенала Dragonfly и APT28 – группировок, связываемых ИБ-экспертами с российским правительством. Их целью было получение доступа к проприетарным технологиям и конфиденциальным данным.

По словам исследователей, в качестве C&C-сервера преступники использовали домен scsnewstoday[.]com, тот же самый, что использовался в атаках TEMP.Periscope на правительство Камбоджи. Кроме того, фишинговые письма отправлялись с китайского почтового клиента Foxmail. Тем не менее, для получения учетных данных SMB применялась уникальная техника из арсенала Dragonfly. Для атаки вида NBT-NS Poisoning злоумышленники использовали инструмент с открытым исходным кодом Responder.

Согласно отчету Recorded Future, 6 июля нынешнего года киберпреступники отправили британской инженерной компании фишинговые письма с двумя вредоносными ссылками. Первая была «file://» и предназначалась для установления SMB-сеанса, а вторая вела на файл URL для установления исходящего SMB-подключения.

Сообщение было отправлено якобы от лица камбоджийского журналиста, запрашивавшего информацию. Тем не менее, грамматические и пунктуационные ошибки вызвали подозрение у сотрудников атакуемой компании.

Поскольку в атаках использовались TTP как Dragonfly, так и TEMP.Periscope, существует несколько возможных сценариев. Первый – китайцы «одолжили» TTP у Dragonfly. Второй – Dragonfly воспользовались TTP китайцев, и третий – кто-то еще, пока неизвестный, использовал в атаках TTP известных группировок.
 
Сверху Снизу