Chińska kampania cyberszpiegowska rozszerza się na kolejne rządy Azji Południowo-Wschodniej - Wietnam, Tajlandię i Indonezję. Kampania, przypisywana chińskiej grupie APT SharpPanda, wykorzystuje platformę szkodliwego oprogramowania o nazwie „Soul” do kradzieży informacji i szpiegowania działań rządu – informują analitycy bezpieczeństwa cybernetycznego z Check Point Research, którzy szczegółowo opisali łańcuch infekcji w swoim raporcie.

Eksperci bezpieczeństwa cybernetycznego alarmują, że są swiadkami kampanii cyberszpiegowskiej, której celem są rządy Azji Południowo-Wschodniej, w tym Wietnam, Tajlandia i Indonezja. W czerwcu 2021 r. grupa badawcza Check Point Research zidentyfikowała chińską grupę APT o nazwie SharpPanda, która wykorzystywała luki w zabezpieczeniach i kampanie typu spear phishing w celu uzyskania dostępu do sieci docelowych. Od tego czasu analitycy nadal śledzą aktywność SharpPanda.

W nowych atakach, realizowanych od końca 2023 roku, „ładunki” wykorzystują tak zwaną modułową strukturę Soul, wcześniej nieprzypisaną modułową strukturę szkodliwego oprogramowania. Chociaż platforma Soul jest używana od co najmniej 2017 r., stojący za nią cyberprzestępcy stale ją aktualizują, udoskonalając jej architekturę i możliwości.

Atak rozpoczyna się jako phishing ze złośliwym dokumentem zawierającym zdalny szablon z exploitem. Exploit uruchamia wbudowany downloader, który pomaga uruchomić backdoor Soul.

Rysunek 1. Łańcuch infekcji

 

Chociaż struktura złośliwego oprogramowania Soul była wcześniej opisana przez firmę Semantic na podstawie kampanii szpiegowskiej skierowanej do sektorów obrony, opieki zdrowotnej i ICT w Azji Południowo-Wschodniej, nigdy wcześniej nie była przypisywana ani powiązana z żadnym znanym ugrupowaniem cyberprzestępczym. Obecnie nie jest pewne, czy framework Soul jest wykorzystywany wyłącznie przez jedną grupę.

- Jesteśmy świadkami chińskiej operacji cyberszpiegowskiej wymierzonej w jednostki rządowe Azji Południowo-Wschodniej, w tym Wietnam, Tajlandię i Indonezję. Po raz pierwszy dostrzeżono interesujące połączenie między dwoma zestawami narzędzi do ataku. Na podstawie ustaleń technicznych przedstawionych w naszym badaniu uważamy, że kampania ta jest zorganizowana przez zaawansowanych cyberprzestępców wspieranych przez Chiny, których inne narzędzia, możliwości i pozycja w szerszej sieci działań szpiegowskich nie zostały jeszcze zbadane – wyjaśnia Eli Smadia, kierownik grupy badawczej w Check Point Software.

Zdaniem specjalistów z Check Point Research, związek między narzędziami Sharp Panda a wspomnianymi wcześniej atakami w Azji Południowo-Wschodniej to kolejny przykład kluczowych cech charakterystycznych dla chińskich operacji APT, takich jak dzielenie się niestandardowymi narzędziami między grupami lub specjalizacja zadań cyberprzestępców. Według analityków Check Pointa głównym motywem napastników jest kradzież danych i szpiegowanie podmiotów rządowych.

- Podczas gdy poprzednie kampanie Sharp Panda dostarczyły niestandardowego i unikalnego backdoora o nazwie VictoryDll, ładunkiem tego konkretnego ataku jest nowa wersja programu SoulSearcher, który ostatecznie ładuje modułową strukturę Soul. Chociaż próbki tego środowiska z lat 2017-2021 były analizowane wcześniej, jest to najobszerniejszy udokumentowany łańcuch infekcji z rodziny złośliwego oprogramowania Soul, w tym pełna analiza techniczna najnowszej wersji, skompilowana pod koniec 2022 r. – dodaje ekspertka firmy Check Point Software.

 

 
 
 


 

 


Materiał zewnętrzny

Doskonałość Inżynierska: Innowacje w Technologii Armatury Przemysłowej
Doskonałość Inżynierska: Innowacje w Technologii Armatury Przemysłowej
Innowacje w technologii armatury przemysłowej są tym, co nadaje tej branży nowy kierunek. Jak odległe punkty na horyzoncie, są to nowinki, które przyciągają...

Materiał zewnętrzny

Rejestracja kasy fiskalnej – jak to zrobić?
Rejestracja kasy fiskalnej – jak to zrobić?
Rejestracja kasy fiskalnej jest kluczowym elementem prowadzenia działalności gospodarczej w Polsce, w tym również w takich miastach jak Kraków. Proces...

Zobacz również