Китайских хакеров обвинили в атаках на военные и правительственные сети Азии
Специалисты по информационной безопасности сообщили об обнаружении киберпреступной деятельности ранее неизвестной хакерской группировки, получившей название Unfading Sea Haze. В ходе расследования выяснилось, что киберпреступники проводят свои атаки примерно с 2018 года и нацелены на военные и государственные структуры в регионе Южно-Китайского моря, сообщает издание Bleeping Computer.
По словам экспертов по кибербезопасности из профильной компании Bitdefender, которые обнаружили деятельность этой хакерской группировки, действия и мотивы киберпреступников соответствуют геополитическим интересам Китая.
В частности, группировка сосредоточена исключительно на сборе разведывательных данных и шпионаже, что очень типично, как отмечают аналитики, для хакерских APT-группировок из КНР. Техники, тактики и наборы инструментов, которые используются группировкой Unfading Sea Haze, очень схожи с теми, которые применяют известные хакерские группы из Китая , например, APT41.
В компании Bitdefender заявили, что атаки группы Unfading Sea Haze начинаются с целевого фишинга с применением электронных писем, содержащих вредоносные ZIP-архивы, в которых файлы LNK, замаскированы под обычные документы.
По состоянию на март 2024 года последние приманки, использованные в этих атаках, касались политических тем США, а ZIP-файлы были обманчиво названы так, чтобы выглядеть как установщики/обновители «Защитника Windows». Эти файлы LNK содержат длинную запутанную команду PowerShell, которая проверяет наличие исполняемого файла ESET, ekrn.exe, и, если он существует, останавливает атаку.
Если исполняемый файл не найден, сценарий PowerShell выполнит интересный трюк, запустив бесфайловое вредоносное ПО непосредственно в память с помощью законного компилятора командной строки msbuild.exe от Microsoft.
«В этой атаке преступники запускают новый процесс MSBuild с особенностью: они указывают рабочий каталог, расположенный на удалённом SMB-сервере (например, 154.90.34.83exchangeinfo в приведённом выше примере)
Установив рабочий каталог в удалённом месте, MSBuild будет искать файл проекта на этом удалённом сервере. Если файл проекта найден, MSBuild выполнит содержащийся в нём код полностью в памяти, не оставляя следов на компьютере жертвы», — объясняю эксперты Bitdefender.
Чтобы открыть сайт Кракен, вам потребуется использовать Tor браузер, который обеспечивает анонимное и безопасное соединение. Этот браузер скрывает ваше местоположение и позволяет обходить блокировки, делая доступ к Кракену максимально защищённым. Наш сервис предоставляет актуальные ссылки на сайт, которые проходят проверку и гарантируют безопасность при подключении.
Важно использовать только проверенные ссылки, чтобы избежать риска попасть на фишинговые сайты. Установите Tor, получите рабочую ссылку с нашего ресурса, вставьте её в адресную строку браузера и подключитесь к платформе. Это быстрый и безопасный способ получить доступ к функционалу маркетплейса Кракен без угроз для ваших данных.
