- Регистрация
- 26.10.16
- Сообщения
- 2,237
- Онлайн
- 36д 20ч 30м
- Сделки
- 251
- Нарушения
- 0 / 0
Атаки DEV-0147 в Южной Америке представляли из себя злоупотребление локальной инфраструктурой идентификации для разведки и бокового перемещения (Lateral Movement), а также использование Cobalt Strike для управления и контроля, и эксфильтрации данных.
По словам Microsoft, группа использовала RAT-троян ShadowPad. Другие китайские хакеры также используют этот инструмент для поддержания постоянного доступа. DEV-0147 также использовала загрузчик веб-пакетов QuasarLoader для развертывания дополнительных вредоносных программ.
Шпионаж за дипломатическими целями в Южной Америке является расширением кампаний группы по эксфильтрации данных правительственных учреждений и аналитических центров в Азии и Европе.
Windows-бэкдор под названием ShadowPad, позволяющий злоумышленникам загружать дополнительные вредоносные модули или красть данные, с 2017 года активно используется различными китайскими кибершпионскими группировками.
Вредоносная программа расшифровывает и загружает в память устройства подключаемый модуль Root, обеспечивающий загрузку других встроенных модулей, в дополнение к динамическому развертыванию дополнительных подключаемых модулей с удаленного C&C-сервера. Это позволяет злоумышленникам использовать дополнительные функции, по умолчанию не встроенные во вредоносное ПО.
