Наследили в настройках. Китайские хакеры выдали себя любовью к родному языку и редкому софту
NewsMakerЧтобы вычислить врага, хватило простого взгляда на текстовые файлы.
Специалисты подразделения Unit 42 компании Palo Alto Networks раскрыли многолетнюю кибероперацию против организаций в странах Азии. Кампания, получившая обозначение CL-UNK-1068, оставалась вне поля зрения как минимум с 2020 года и затрагивала структуры с высокой ценностью данных — от государственных ведомств до энергетики, авиации и телекоммуникаций.
Анализ показывает устойчивую активность против компаний и учреждений Южной, Юго-Восточной и Восточной Азии. Среди целей оказались авиационная отрасль, государственные структуры, правоохранительные органы, фармацевтика, технологические компании и телекоммуникационный сектор. Команда Unit 42 связывает кампанию с группой, использующей китайский язык. На такую оценку указывают происхождение инструментов, языковые следы в конфигурационных файлах и выбор целей.
После проникновения злоумышленники закреплялись в инфраструктуре с помощью веб-оболочек GodZilla и модифицированной версии AntSword. Через них операторы получали доступ к серверам, перемещались по сети и искали базы данных. Одной из первых задач становилось извлечение конфигурационных файлов веб-сайтов из каталога c:/inetpub/wwwroot. Среди похищенных данных встречались web.config, различные ASP-файлы и библиотеки DLL. Содержимое помогало находить учётные данные и уязвимости в коде сайтов.
Похищенные файлы архивировали через WinRAR, затем кодировали в Base64 с помощью certutil и выводили текст прямо в консоль веб-оболочки. Такой подход позволял передавать информацию с сервера без прямой пересылки файлов. Кроме конфигурационных данных злоумышленники забирали историю браузеров, закладки, таблицы XLSX и CSV с рабочих столов пользователей, а также резервные копии баз данных MSSQL.
Специалисты подразделения Unit 42 компании Palo Alto Networks раскрыли многолетнюю кибероперацию против организаций в странах Азии. Кампания, получившая обозначение CL-UNK-1068, оставалась вне поля зрения как минимум с 2020 года и затрагивала структуры с высокой ценностью данных — от государственных ведомств до энергетики, авиации и телекоммуникаций.
Анализ показывает устойчивую активность против компаний и учреждений Южной, Юго-Восточной и Восточной Азии. Среди целей оказались авиационная отрасль, государственные структуры, правоохранительные органы, фармацевтика, технологические компании и телекоммуникационный сектор. Команда Unit 42 связывает кампанию с группой, использующей китайский язык. На такую оценку указывают происхождение инструментов, языковые следы в конфигурационных файлах и выбор целей.
После проникновения злоумышленники закреплялись в инфраструктуре с помощью веб-оболочек GodZilla и модифицированной версии AntSword. Через них операторы получали доступ к серверам, перемещались по сети и искали базы данных. Одной из первых задач становилось извлечение конфигурационных файлов веб-сайтов из каталога c:/inetpub/wwwroot. Среди похищенных данных встречались web.config, различные ASP-файлы и библиотеки DLL. Содержимое помогало находить учётные данные и уязвимости в коде сайтов.
Похищенные файлы архивировали через WinRAR, затем кодировали в Base64 с помощью certutil и выводили текст прямо в консоль веб-оболочки. Такой подход позволял передавать информацию с сервера без прямой пересылки файлов. Кроме конфигурационных данных злоумышленники забирали историю браузеров, закладки, таблицы XLSX и CSV с рабочих столов пользователей, а также резервные копии баз данных MSSQL.