Китайски хакери внедряват сайт с фалшиви новини, за да заразят правителствени и енергийни цели
Китайска група за кибершпионаж е използвала сайт за фалшиви новини, за да зарази цели на правителството и енергийната индустрия в Австралия, Малайзия и Европа със зловреден софтуер, според блог, публикуван онлайн във вторник от Proofpoint и PwC Threat Intelligence.
Групата е известна с няколко имена, включително APT40, Leviathan, TA423 и Red Ladon. Четирима от нейните членове бяха обвинени от Министерството на правосъдието на САЩ през 2021 г. за хакване на редица компании, университети и правителства в Съединените щати и по света между 2011 и 2018 г.
Групата използва своя фалшив австралийски новинарски сайт, за да зарази посетителите с рамката за експлоатация на ScanBox. „ScanBox е рамка за разузнаване и експлоатация, разгърната от нападателя за събиране на няколко вида информация, като например публичния IP адрес на целта, вида на използвания уеб браузър и неговата конфигурация“, обясни вицепрезидентът на Proofpoint за изследване и откриване на заплахи Шерод ДеГрипо.
„Това служи като настройка за етапите на събиране на информация, които следват и потенциална последваща експлоатация или компрометиране, където злонамерен софтуер може да бъде внедрен, за да получи устойчивост на системите на жертвата и да позволи на нападателя да извършва шпионски дейности“, каза тя пред TechNewsWorld.
„Това създава впечатление за мрежата на жертвата, която актьорите след това изучават и решават кой е най-добрият път, който да поемат, за да постигнат по-нататъшен компромис“, каза тя.
Атаките „Watering Hole“, които използват ScanBox, се харесват на хакерите, тъй като целта на компромиса не е в организацията на жертвата, добави Джон Бамбенек, основен ловец на заплахи в Netenrich, базирана в Сан Хосе, Калифорния компания за операции по ИТ и цифрова сигурност.
Модулна атака
Според блога Proofpoint/PwC кампанията TA423 е насочена основно към местни и федерални австралийски правителствени агенции, австралийски новинарски медийни компании и глобални производители на тежка промишленост, които извършват поддръжка на флоти от вятърни турбини в Южнокитайско море.
Той отбеляза, че фишинг имейлите за кампанията са изпратени от имейл адреси на Gmail и Outlook, за които Proofpoint вярва с „умерена увереност“, че са създадени от нападателите.
Редовете за теми във фишинг имейлите включват „Отпуск по болест“, „Проучване на потребителите“ и „Искане за сътрудничество“.
Актьорите на заплахата често се представят за служители на измислената медийна публикация „Australian Morning News“, обяснява блогът, и предоставят URL адрес към техния злонамерен домейн, приканвайки цели да видят техния уебсайт или да споделят изследователско съдържание, което уебсайтът ще публикува.
Ако дадена цел щракне върху URL адреса, тя ще бъде изпратена до сайта с фалшиви новини и ще й бъде предоставен, без тяхно знание, зловредният софтуер ScanBox. За да придадат доверие на своя фалшив уебсайт, противниците публикуваха съдържание от законни новинарски сайтове, като BBC и Sky News.
ScanBox може да достави кода си по два начина: в единичен блок, който дава незабавен достъп на атакуващия до пълната функционалност на зловреден софтуер, или като добавка, модулна архитектура. Екипажът на TA423 избра метода на включване.
Според PwC, модулният маршрут може да помогне за избягване на сривове и грешки, които биха предупредили цел, че тяхната система е атакувана. Това също е начин да се намали видимостта на атаката за изследователите.
Скок във фишинга
Както показват тези видове кампании, фишингът остава върхът на копието, използвано за проникване в много организации и кражба на техните данни. „Сайтовете за фишинг претърпяха неочакван скок през 2022 г.“, отбеляза Мония Денг, директор продуктов маркетинг в Bolster, доставчик на автоматизирана защита от дигитален риск, в Лос Алтос, Калифорния.
„Изследванията показаха, че този проблем се е увеличил десетократно през 2022 г., тъй като този метод е лесен за внедряване, ефективен и перфектна буря в дигитална ера на работа след пандемия“, каза тя пред TechNewsWorld.
DeGrippo поддържа, че фишинг кампаниите продължават да работят, защото заплахите са адаптивни. „Те използват актуални събития и цялостни техники за социално инженерство, като много пъти преследват страховете на целта и чувството за неотложност или важност“, каза тя.
