Скрытные хакеры Grayling наносят киберудар по тайваньским учреждениям

Неизвестная до этого момента хакерская группировка стоит за рядом атак, нацеленных на организации в области производства, IT и биомедицины на Тайване.

Команда исследователей из Symantec отнесла эти атаки к APT-группе под названием Grayling. Согласно данным специалистов, вредоносная кампания началась в феврале этого года и продолжалась по крайней мере до мая.

Вероятными целями в рамках этой деятельности, помимо тайваньских организаций, также стали правительственные учреждения, расположенные на островах Тихого океана, а также организации во Вьетнаме и США.

Особенностью данной активности стало использование хакерами Grayling уникальной техники DLL Sideloading, использующей кастомный дешифратор для развёртывания полезных нагрузок. «Мотивацией, стимулирующей эту деятельность, по-видимому, является сбор разведданных», — отмечается в отчёте Symantec.

В качестве начальной точки взлома исследователи упоминают эксплуатацию общедоступной инфраструктуры с последующим развёртыванием веб-оболочек для постоянного доступа.

Цепочки атаки активно используют технику DLL Sideloading через SbieDll_Hook для последующего применения таких инструментов, как Cobalt Strike, NetSpy и Havoc Framework, а также дополнительных инструментов вроде Mimikatz.

DLL Sideloading — это популярный метод, используемый различными участниками угроз для обхода решений безопасности и обмана операционной системы Windows с целью выполнения вредоносного кода на целевой конечной точке.

«Получив первоначальный доступ к компьютерам жертв, злоумышленники предпринимают различные действия, включая повышение привилегий, сканирование сети и использование загрузчиков», — заявили в Symantec.

Стоит отметить, что использование DLL Sideloading в отношении SbieDll_Hook и SandboxieBITS.exe ранее наблюдалось в случае с APT-группой Naikon при атаках на военные организации в Юго-Восточной Азии. Однако между Grayling и Naikon пересечений специалистами обнаружено не было.

На сегодняшний день нет никаких доказательств того, что хакеры Grayling обменяли или продали полученную в ходе своей операции информацию. Эксперты предполагают, что мотивы группировки больше направлены на сбор разведданных.

Использование общедоступных инструментов рассматривается исследователями как попытка усложнить процесс определения источника атак, в то время как завершение системных процессов указывает на то, что уклонение от обнаружения является приоритетом этих киберпреступников, чтобы оставаться незамеченными в течение как можно более длительного периода времени.

«Интенсивная направленность на тайваньские организации указывает на то, что Grayling, вероятно, действуют из региона со стратегическим интересом к Тайваню», — добавили в компании Symantec.