Китайские хакеры причастны к многомесячной атаке на тайваньский финансовый сектор

Тайваньские ИБ-эксперты выяснили, что группа хакеров, связанная с правительством Китая, устроила многомесячную атаку на финансовый сектор Тайваня. Киберпреступники воспользовались уязвимостью в ПО для обеспечения безопасности, используемом примерно 80% тайваньских финансовых организаций.

Предполагается, что атаки начались в конце ноября 2021 года и продолжались в феврале 2022 года. Об этом сообщает Record со ссылкой на отчет тайваньской ИБ-компании CyCraft. Компания приписала вторжения, которые она отслеживала под кодовым названием Operation Cache Panda , известной китайской группе APT10, занимающейся кибершпионажем.

ИБ-компании CyCraft отказалась сообщить название продукта, использованного в текущих атаках, из-за продолжающегося расследования правоохранительных органов, а также установки исправления в финансовых учреждениях Тайваня. Эксперты CyCraft заявили, что изначально атаки остались незамеченными, потому что были неправильно классифицированы.

При расследовании ноябрьских атак 2021 года пропущена часть, в которой хакеры использовали уязвимость в программном обеспечении, и была обнаружена только атака с заполнением учетных данных, которую APT10 использовала в качестве прикрытия и способа получить доступ к некоторым торговым счетам, которые хакеры использовали для выполнения крупных транзакций на Гонконгском фондовом рынке.

Однако, исследователи CyCraft заявили, что атаки с заполнением учетных данных использовались только как прикрытие. На самом деле хакеры из группы APT10 воспользовались уязвимостью в веб-интерфейсе популярного инструмента безопасности, внедрили версию веб-шелла ASPXCSharp , а затем использовали инструмент Impacket для сканирования внутренней сети целевой компании.

Затем злоумышленники использовали технику, называемую загрузкой отражающего кода , для запуска вредоносного кода в локальных системах и установки версии Quasar RAT , которая позволяла злоумышленникам получать постоянный удаленный доступ к зараженной системе с использованием обратных туннелей RDP.
CyCraft заявила, что смогла раскрыть истинную природу ноябрьских атак после того, как в феврале 2022 года пострадал один из ее клиентов.
«Дальнейшее расследование показало, две отдельные волны кибератак, на самом деле было одной продолжительной кампанией атаки, в которой злоумышленники использовали передовые ранее не наблюдавшиеся методы запутывания», — пишет The Record.

«Целью кибератак, по-видимому, являлась не финансовая выгода, а скорее получение брокерской информации, PII данных и срыв инвестиций в период экономического роста Тайваня», — считают эксперты.