Bezpečnostní společnost Proofpoint odhalila spear-phishingové kampaně tří dosud nezdokumentovaných čínských skupin – UNK_FistBump, UNK_DropPitch a UNK_SparkyCarp – zaměřené na taiwanský polovodičový průmysl. Cílem byly firmy zabývající se výrobou, návrhem a testováním čipů, dodavatelský řetězec i investiční analytici.
UNK_FistBump doručovala Cobalt Strike nebo vlastní backdoor „Voldemort“ maskovaný v životopisech zasílaných personálním oddělením. Útoky napodobovaly běžnou komunikaci a využívaly pevně zakódovanou IP pro řízení.
UNK_DropPitch se zaměřila na investiční firmy, kdy po kliknutí na odkaz oběť stáhla ZIP s DLL, spouštěnou metodou side-loading. Backdoor „HealthKick“ umožňoval exfiltraci dat a vytvoření reverzního shellu. Analýza odhalila použití SoftEther VPN a infrastruktury spojované s čínskou kyberšpionáží.
UNK_SparkyCarp provedla phishing na přihlašovací údaje jedné polovodičové firmy s využitím nástroje adversary-in-the-middle.
Proofpoint uvádí, že zasaženo bylo 15–20 organizací, ale bez potvrzené kompromitace. Útoky podle firmy souvisí se snahou Číny o soběstačnost v oblasti polovodičů v reakci na exportní omezení USA a Tchaj-wanu.
Zpráva také zmiňuje skupinu Salt Typhoon, která pronikla do sítě jedné jednotky Národní gardy USA a neodhalena zde působila devět měsíců. Získala přístup k administrátorským údajům, síťovým plánům i osobním datům členů gardy. Průnik byl umožněn zneužitím známých zranitelností v zařízeních Cisco a Palo Alto Networks.
Bezpečnostní experti varují, že dlouhodobá neodhalená přítomnost APT skupin ukazuje na slabiny v detekci a segmentaci hybridních sítí.
Zdroj: The Hacker News
Zdroj: IT SECURITY NETWORK NEWS
Zdroj: ICT NETWORK NEWS
