Το τμήμα ερευνών της Check Point (CPR) εντόπισε μια συνεχιζόμενη επιχείρηση κατασκοπείας στον κυβερνοχώρο με στόχο ρωσικά ινστιτούτα αμυντικής έρευνας. Η επιχείρηση, που αποδίδεται σε κινεζικούς εθνικούς κρατικούς φορείς, χρησιμοποιεί spear-phishing μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονται με το πρόσχημα του ρωσικού Υπουργείου Υγείας για τη συλλογή ευαίσθητων πληροφοριών.
Τα μηνύματα ηλεκτρονικού ταχυδρομείου που έπιασε το CPR περιείχαν κακόβουλα έγγραφα που χρησιμοποιούσαν τις δυτικές κυρώσεις κατά της Ρωσίας ως δόλωμα, μεταξύ άλλων τεχνικών κοινωνικής μηχανικής. Οι απειλητικοί φορείς κατάφεραν να αποφύγουν τον εντοπισμό για σχεδόν 11 μήνες χρησιμοποιώντας νέα και μη τεκμηριωμένα εργαλεία, τα οποία το CPR περιγράφει τώρα λεπτομερώς για πρώτη φορά.
Η Check Point ονόμασε την εκστρατεία «Twisted Panda» για να αντανακλά την πολυπλοκότητα των εργαλείων που παρατηρήθηκαν και εντοπίστηκαν στην Κίνα.
Οι στόχοι
Εντοπίστηκαν τρεις στόχοι αμυντικής έρευνας, δύο στη Ρωσία και έναν στη Λευκορωσία. Τα ρωσικά θύματα ανήκουν σε μια εταιρεία συμμετοχών του ρωσικού κρατικού αμυντικού ομίλου Rostec Corporation, η οποία είναι η μεγαλύτερη εταιρεία συμμετοχών της Ρωσίας στη βιομηχανία ραδιοηλεκτρονικής. Η κύρια δραστηριότητα των ρωσικών θυμάτων αφορά την ανάπτυξη και κατασκευή συστημάτων ηλεκτρονικού πολέμου, στρατιωτικού εξειδικευμένου ραδιοηλεκτρονικού εξοπλισμού επί του σκάφους, σταθμών ραντάρ στον αέρα και μέσων κρατικής αναγνώρισης. Οι ερευνητικές οντότητες ασχολούνται επίσης με συστήματα αεροηλεκτρονικής για την πολιτική αεροπορία, την ανάπτυξη ποικίλων πολιτικών προϊόντων, όπως ιατρικός εξοπλισμός και συστήματα ελέγχου για την ενέργεια, τις μεταφορές και τις βιομηχανίες μηχανικής.
Μεθοδολογία επίθεσης
Αρχικά, οι επιτιθέμενοι στέλνουν στους στόχους τους ένα ειδικά διαμορφωμένο μήνυμα ηλεκτρονικού ταχυδρομείου phishing. Το μήνυμα ηλεκτρονικού ταχυδρομείου περιέχει ένα έγγραφο που χρησιμοποιεί τις δυτικές κυρώσεις κατά της Ρωσίας ως δόλωμα. Όταν το θύμα ανοίγει το έγγραφο, κατεβάζει τον κακόβουλο κώδικα από τον ελεγχόμενο από τους επιτιθέμενους διακομιστή, ο οποίος εγκαθιστά και εκτελεί κρυφά μια κερκόπορτα στο μηχάνημα του θύματος. Αυτή η κερκόπορτα συλλέγει τα δεδομένα σχετικά με το μολυσμένο μηχάνημα και τα στέλνει πίσω στον επιτιθέμενο. Στη συνέχεια, με βάση αυτές τις πληροφορίες, ο επιτιθέμενος μπορεί να χρησιμοποιήσει περαιτέρω το backdoor για να εκτελέσει πρόσθετες εντολές στο μηχάνημα του θύματος ή να συλλέξει ευαίσθητα δεδομένα από αυτό.
Κακόβουλα emails
Οι δράστες χρησιμοποιούν κακόβουλα spear-phishing email που χρησιμοποιούν τεχνικές κοινωνικής μηχανικής. Στις 23 Μαρτίου, κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου εστάλησαν σε διάφορα ινστιτούτα αμυντικής έρευνας που εδρεύουν στη Ρωσία. Τα μηνύματα ηλεκτρονικού ταχυδρομείου, τα οποία είχαν ως θέμα «List of <target institute name> persons under US sanctions for invading Ukraine» (Κατάλογος των προσώπων που βρίσκονται υπό τις κυρώσεις των ΗΠΑ για την εισβολή στην Ουκρανία), περιείχαν έναν σύνδεσμο προς έναν ελεγχόμενο από τους επιτιθέμενους ιστότοπο που μιμείται το Υπουργείο Υγείας της Ρωσίας και είχε συνημμένο ένα κακόβουλο έγγραφο.
Την ίδια ημέρα, ένα παρόμοιο μήνυμα ηλεκτρονικού ταχυδρομείου εστάλη επίσης σε μια άγνωστη οντότητα στο Μινσκ της Λευκορωσίας με θέμα «Εξάπλωση θανατηφόρων παθογόνων στις ΗΠΑ στη Λευκορωσία». Όλα τα επισυναπτόμενα έγγραφα είναι κατασκευασμένα έτσι ώστε να μοιάζουν με επίσημα έγγραφα του ρωσικού Υπουργείου Υγείας, που φέρουν το επίσημο έμβλημα και τον τίτλο του.
Αναφορά
Οι Τακτικές, Τεχνικές και Διαδικασίες (TTP) αυτής της επιχείρησης επιτρέπουν στη CPR να αποδώσει τη δράση σε κινεζική δραστηριότητα APT. Η εκστρατεία Twisted Panda παρουσιάζει πολλαπλές επικαλύψεις με κινεζικούς προηγμένους και μακροχρόνιους φορείς κυβερνοκατασκοπείας, συμπεριλαμβανομένων των APT10 και Mustang Panda.
στο Google News και μάθετε πρώτοι όλες τις ειδήσειςLatest News
Meta και Amazon «κόβουν» τα προγράμματα συμπερίληψης – Νέα συνάντηση Τραμπ και Ζάκερμπεργκ
Ο Μαρκ Ζάκερμπεργκ συνεχίζει την επίθεση φιλίας στον Τραμπ καθώς οι αμερικανικές επιχειρήσεις προετοιμάζονται για ισχυροποίηση των συντηρητικών φωνών.
Οι Κινέζοι ανταγωνιστές «ροκανίζουν» το μερίδιο αγοράς των iPhone της Apple - Ο ρόλος της AI
Το iPhone υποχώρησε κατά μία μονάδα στο 18% του μεριδίου αγοράς το 2024
Ένας Cosmos γεμάτος ανθρωπόμορφα ρομπότ
Θα μπορούν να κάνουν δουλειές στο σπίτι ή σε χώρους εργασίας όπως τα εργοστάσια
Ο Μαρκ Ζάκερμπεργκ κατακρίνει την Apple για έλλειψη καινοτομίας
O Μαρκ Ζάκερμπεργκ είπε για την Apple, μεταξύ άλλων , πως «Δεν έχουν εφεύρει κάτι σπουδαίο εδώ και καιρό»
Γιατί 1 στους 4 Αμερικάνους αποφεύγουν την Τεχνολογία Tesla
Είναι εξαιρετικά σπάνια η εμπλοκή ενός επιχειρηματία τόσο ανοιχτά στην πολιτική με τρόπο που να οδηγεί σε μποϋκοτάζ της Tesla
Γιατί η Meta έπρεπε να «υποκλιθεί στον Τραμπ» πριν από την ορκωμοσία του
Η Meta έχει πολλά να διακινδυνεύσει, γι' αυτό και επαναπροσδιορίζει τη θέση της ανάλογα με τις πολιτικές εξελίξεις - Τι κάνει τώρα με τον Τραμπ
Η Google αλλάζει τον τρόπο που μαθαίνουμε τις ειδήσεις – Τι είναι η λειτουργία «Daily listen»
Η Google δοκιμάζει μια νέα λειτουργία, με τη βοήθεια της τεχνητής νοημοσύνης, που θα αλλάξει για πάντα τον τρόπο ενημέρωσης των χρηστών.
Στη «Silicon Valley» της Ταϊβάν - Εκεί που χτυπά η καρδιά της τεχνολογίας
Το νέο επιστημονικό πάρκο εισφέρει το 6% του ΑΕΠ της Ταϊβάν - Στο Σίντσου έχουν εγκατασταθεί εκατοντάδες τεχνολογικές επιχειρήσεις
Η Τεχνητή νοημοσύνη κατά της φοροδιαφυγής - Το σχέδιο της ΑΑΔΕ
Η εφορία δημιουργεί ενιαίο προφίλ για κάθε φορολογούμενο - Οι άξονες του Στρατηγικού Σχεδίου
Οργή στη Nvidia για τους επικείμενους περιορισμούς Μπάιντεν στις εξαγωγές μικροτσίπ
Η Nvidia είναι ο κορυφαίος πωλητής των λεγόμενων επιταχυντών τεχνητής νοημοσύνης και θα επηρεαστεί από τα νέα μέτρα
