Цифровой дипломатический кризис: Филиппины в сетевой осаде китайских хакеров
Stately Taurus ведёт масштабные атаки на правительственные структуры островного государства.
В последние месяцы обострились отношения между Китаем и Филиппинами. В августе китайский береговой сторожевик использовал водомёт против филиппинского судна у спорного атолла в архипелаге Спратли. Филиппины, в свою очередь, объявили о совместных патрулях с США и военных учениях с Австралией, а также прекратили работу горячей линии с Китаем и начали демонтаж китайских заграждений у спорной территории.
На фоне обострения отношений в мире материальном, в цифровом пространстве произошло то же самое. Исследователи из подразделения Unit 42 компании Palo Alto Networks зафиксировали сразу три вредоносные кампании китайской группировки Stately Taurus, нацеленные на государственные структуры Южно-Китайского моря, включая правительство Филиппин.
Злоумышленники использовали легитимное программное обеспечение, такое как Solid PDF Creator и SmadavProtect, для внедрения вредоносных файлов, имитируя при этом легитимный трафик Microsoft.
Группа Stately Taurus , известная также как Mustang Panda и Red Delta , активна с 2012 года. Это китайская группа кибершпионажа, нацеленная на правительственные учреждения, некоммерческие и религиозные организации в Северной Америке, Европе и Азии.
Первая рассмотренная исследователями кампания Stately Taurus началась 1 августа этого года с вредоносного пакета на Google Drive. Вторая кампания, запущенная 3 августа, использовала зашифрованный путь с множеством папок. Третья кампания 16 августа была структурно идентична первой.
IP-адрес «45.121.146[.]113», связанный со Stately Taurus, использовался для маскировки трафика как легитимного трафика Microsoft. Мониторинг показал множественные подключения к этому серверу от филиппинских правительственных структур.
Активность Stately Taurus в августе указывает на успешное проникновение в правительственные структуры Филиппин. Группа продолжает проводить глобальные кибершпионские операции, связанные с геополитическими интересами Китая.
Исследователи предоставили индикаторы компрометации (IoC) выявленной угрозы, чтобы сторонние поставщики безопасности могли настроить соответствующие защитные правила.
Чтобы уберечь свою компанию от подобных угроз специалисты Palo Alto Networks рекомендуют использовать NGFW, XDR, XSOAR или XSIAM-решения. Лишь комплексная безопасность сможет по-настоящему защитить организации от хакеров.
Ваша приватность умирает красиво, но мы можем спасти её.