Google Drive теперь работает на китайскую разведку. Посмотрите, как хакеры освоились в облаке
NewsMakerХакеров APT41 заподозрили в атаках на госструктуры через уязвимое ПО.
Группировка Silver Dragon несколько лет тихо атакует государственные структуры и крупные организации в Европе и Юго-Восточной Азии. Злоумышленники взламывают публичные серверы, рассылают фишинговые письма и устанавливают вредоносные инструменты, которые маскируются под обычные процессы Windows. Одну из последних операций специалисты компании Check Point подробно разобрали и обнаружили новый бэкдор, который общается с операторами через Google Drive.
Активность Silver Dragon заметили как минимум с середины 2024 года. По ряду признаков кампания связана с китайской группировкой APT41 . Основная цель атак – государственные учреждения, хотя под удар попали и другие организации. Чаще всего злоумышленники получают доступ через уязвимые интернет-серверы. В некоторых случаях используют фишинговые письма с вредоносными вложениями.
После проникновения в систему атакующие закрепляются и запускают инструменты удалённого управления. Во многих атаках конечной нагрузкой становится Beacon из набора Cobalt Strike. Связь с управляющими серверами нередко проходит через DNS-туннелирование , что помогает скрыть сетевую активность и обходить часть средств обнаружения.
Анализ показал три основные цепочки заражения. Две из них используют архивы с установочными сценариями и вредоносными библиотеками. Сценарий копирует файлы в системные каталоги Windows, после чего подменяет параметры запуска легитимных служб. Такой приём заставляет систему загружать вредоносный код вместе с обычными компонентами операционной системы. Для закрепления злоумышленники также удаляют и заново создают службы Windows, чтобы заставить систему выполнить заражённый процесс.
Группировка Silver Dragon несколько лет тихо атакует государственные структуры и крупные организации в Европе и Юго-Восточной Азии. Злоумышленники взламывают публичные серверы, рассылают фишинговые письма и устанавливают вредоносные инструменты, которые маскируются под обычные процессы Windows. Одну из последних операций специалисты компании Check Point подробно разобрали и обнаружили новый бэкдор, который общается с операторами через Google Drive.
Активность Silver Dragon заметили как минимум с середины 2024 года. По ряду признаков кампания связана с китайской группировкой APT41 . Основная цель атак – государственные учреждения, хотя под удар попали и другие организации. Чаще всего злоумышленники получают доступ через уязвимые интернет-серверы. В некоторых случаях используют фишинговые письма с вредоносными вложениями.
После проникновения в систему атакующие закрепляются и запускают инструменты удалённого управления. Во многих атаках конечной нагрузкой становится Beacon из набора Cobalt Strike. Связь с управляющими серверами нередко проходит через DNS-туннелирование , что помогает скрыть сетевую активность и обходить часть средств обнаружения.
Анализ показал три основные цепочки заражения. Две из них используют архивы с установочными сценариями и вредоносными библиотеками. Сценарий копирует файлы в системные каталоги Windows, после чего подменяет параметры запуска легитимных служб. Такой приём заставляет систему загружать вредоносный код вместе с обычными компонентами операционной системы. Для закрепления злоумышленники также удаляют и заново создают службы Windows, чтобы заставить систему выполнить заражённый процесс.