Вчера
Лаборатория Касперского выпустила
отчет о новом хитроумном вредоносе
Ecipekac, который использовала китайская
APT 10 aka
Stone Panda.
APT 10 aka
Stone Panda - это старая китайская хакерская группа, которая, как считается, работает под контролем
МГБ КНР. Имеют достаточно богатую историю атак, среди которых можно выделить:
-
Operation Soft Cell, направленную на долгосрочный взлом телекоммуникационных операторов и продолжавшуюся на протяжении как минимум пяти лет. Атаки были направлены на получение доступа к CDR (те кто в курсе, что такое CDR - медленно фалломорфируют);
- приписываемая
APT 10 атака в январе 2019 года на
Airbus, в ходе которой утекли конфиденциальные данные авиапроизводителя.
В конце 2018 года
Директор ФБР выдвинул обвинения в отношении двух граждан
КНР,
Чжу Хуа и
Чжана Шилонга, которых американцы подозревали в участии в составе
APT 10 в атаках на более чем 45 организаций по всему миру в период с 2006 по 2018 годы. Среди жертв он назвал даже
НАСА и
Министерство энергетики США. Следом за американцами подтянулся
Евросоюз, также объявивший санкции.
Но китайцам "все по херу, что Боб Марли, что Есенин", они и после обвинений от
США и
ЕС продолжили заниматься проведением киберопераций, одну из которых и нашли
Касперские в 2019 году. Продолжавшаяся до декабря 2020 года кибершпионская кампания была направлена на промышленные объекты, в том числе японские.
Для первичной компрометации атакуемой сети хакеры использовали уязвимости в
Pulse VPN (мы все помним про уязвимости в
Pulse VPN) или применяли украденные ранее учетные данные.
В ходе проникновения злоумышленники использовали оригинальные вредоносы - многослойный загрузчик
Ecipekac, а также полезную нагрузку в виде безфайловых трояна удаленного доступа
P8RAT и бэкдора
SodaMaster.
Ecipekac в своей работе использует достаточно редкую технику обхода цифровой подписи, которая впервые была представлена на
BlackHat 2016.
Проанализировав TTPs
Касперские смогли весьма аргументировано атрибутировать стоящую за кибероперацией хакерскую группу как
APT 10 по множеству совпадений в техниках, коде вредоносов и в используемой инфраструктуре. К примеру, в
SodaMaster был жестко зашит
URL, ранее использовавшийся
APT 10 в атаках на турецкие финансовый и телекоммуникационный секторы.
Касперские обещают и дальше следить за проделками китайских хакеров из
APT 10 aka
Stone Panda, ну а мы будем следить за
Касперскими (хе-хе).
