Cobalt Strike стал главным кибероружием против правительственных структур региона.
Китайская хакерская группа Sharp Panda, известная своими кампаниями кибершпионажа, начала атаковать правительственные организации в Африке и Карибском бассейне. Об этом сообщили специалисты из Check Point в своём недавнем отчёте.
В рамках кампании используется вредоносное ПО Beacon, являющееся частью фреймворка Cobalt Strike, которое предоставляет функции для удалённого управления заражёнными системами и исполнения команд. Использование данного инструментария позволяет минимизировать использование кастомных инструментов и сократить риск их обнаружения. По мнению экспертов Check Point, такой подход свидетельствует о глубоком понимании целей атак.
Sharp Panda, также известная как Sharp Dragon, была впервые обнаружена в июне 2021 года, когда атаковала правительство одной из стран в Юго-Восточной Азии с использованием вредоносной программы VictoryDLL. В последующих атаках хакеры использовали модульный фреймворк Soul, позволяющий получать дополнительные компоненты с серверов, контролируемых злоумышленниками, для продвинутого сбора информации.
Исследования показывают, что разработка Soul началась в октябре 2017 года. Этот бэкдор включает функции, заимствованные из Gh0st RAT и других общедоступных инструментов, часто используемых китайскими киберпреступниками.
В июне 2023 года группа атаковала высокопоставленных чиновников из стран G20, что свидетельствует о продолжающейся нацеленности на правительственные структуры для сбора информации. Важным элементом операций Sharp Panda является эксплуатация уязвимостей нулевого дня, таких как CVE-2023-0669, для проникновения в инфраструктуру и использования её в качестве C2-серверов.
Недавние атаки на правительства Африки и Карибского бассейна демонстрируют расширение целей для атак. Злоумышленники используют взломанные аккаунты электронной почты высокопоставленных лиц из Юго-Восточной Азии для рассылки фишинговых писем с вредоносными вложениями, использующими инструмент Royal Road для распространения загрузчика «5.t». Этот загрузчик осуществляет разведку и запускает Cobalt Strike Beacon, что позволяет хакерам точечно собирать информацию о целевых системах.
Использование Cobalt Strike не только снижает риск обнаружения кастомных инструментов, но и указывает на «усовершенствованный подход к оценке целей», как отмечает Check Point. Так, в последнее время хакеры также начали использовать исполняемые файлы, замаскированные под документы, для повышения шанса заражения, что является свидетельством постоянного совершенствования их тактики.
Стратегическое расширение деятельности Sharp Dragon на Африку и Карибский бассейн отражает стремление китайских киберпреступников усилить свое присутствие и влияние в этих регионах.
Хакерские группировки, подобные Sharp Panda, постоянно совершенствуют свои методы, адаптируя тактики и используя новейшие инструменты для проникновения в правительственные структуры различных стран. Их деятельность выходит за рамки отдельных регионов, свидетельствуя о стремлении к расширению влияния и сбору конфиденциальной информации в глобальных масштабах.
Подобная вредоносная активность подчёркивает необходимость повышения кибербезопасности и укрепления международного сотрудничества в борьбе с киберпреступностью для защиты важнейших государственных структур и данных.
Гравитация научных фактов сильнее, чем вы думаете