Китайские кибершпионы «одолжили» техники у русских

image

Теги: кибервойна, шпионаж, Великобритания, Китай, Dragonfly, Leviathan

Китайская группировка атаковала британскую инженерную компанию с использованием техник Dragonfly и APT28.

Специалисты компании Recorded Future сообщили о недавних атаках на одну из инженерных компаний в Великобритании. Несмотря на использование техник из арсенала «русских хакеров», по мнению исследователей, за инцидентом стоит кибершпионская группировка из Китая.

Речь идет о китайской группировке TEMP.Periscope, также известной как Leviathan. TEMP.Periscope активна уже пять лет и ранее была замечена в атаках на предприятия морской и оборонной промышленности.

В июле нынешнего года группировка попыталась атаковать сотрудников британской инженерной компании с помощью целенаправленного фишинга. В рамках вредоносной кампании злоумышленники также атаковали электронный адрес, предположительно принадлежащий независимому камбоджийскому журналисту, специализирующемуся на вопросах политики, прав человека и развития Китая.

Все атаки осуществлялись через инфраструктуру, ранее используемую TEMP.Periscope. Похоже, злоумышленники повторно использовали тактики, техники и процедуры (TTP) из арсенала Dragonfly и APT28 – группировок, связываемых ИБ-экспертами с российским правительством. Их целью было получение доступа к проприетарным технологиям и конфиденциальным данным.

По словам исследователей, в качестве C&C-сервера преступники использовали домен scsnewstoday[.]com, тот же самый, что использовался в атаках TEMP.Periscope на правительство Камбоджи. Кроме того, фишинговые письма отправлялись с китайского почтового клиента Foxmail. Тем не менее, для получения учетных данных SMB применялась уникальная техника из арсенала Dragonfly. Для атаки вида NBT-NS Poisoning злоумышленники использовали инструмент с открытым исходным кодом Responder.

Согласно отчету Recorded Future, 6 июля нынешнего года киберпреступники отправили британской инженерной компании фишинговые письма с двумя вредоносными ссылками. Первая была «file://» и предназначалась для установления SMB-сеанса, а вторая вела на файл URL для установления исходящего SMB-подключения.

Сообщение было отправлено якобы от лица камбоджийского журналиста, запрашивавшего информацию. Тем не менее, грамматические и пунктуационные ошибки вызвали подозрение у сотрудников атакуемой компании.

Поскольку в атаках использовались TTP как Dragonfly, так и TEMP.Periscope, существует несколько возможных сценариев. Первый – китайцы «одолжили» TTP у Dragonfly. Второй – Dragonfly воспользовались TTP китайцев, и третий – кто-то еще, пока неизвестный, использовал в атаках TTP известных группировок.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.