- Регистрация
- 18.01.2023
- Сообщения
- 1 674
- Реакции
- 295
- Депозит
- 𝟎.𝟓 𝐁𝐓𝐂
- Сделок через Гаранта
- 135
Исследователи безопасности из ИБ-компании Symantec заявили, что китайская APT-группа Blackfly (APT41, Winnti Group, Bronze Atlas) проводит шпионскую кампанию против двух дочерних компаний азиатского конгломерата, которые работают в секторе материалов и композитов.
Эксперты предполагают, что эта атака является частью более крупной продолжающейся шпионской кампании, направленной на кражу интеллектуальной собственности организаций в Азии.
Согласно отчету компании, последняя активность Blackfly наблюдалась в конце 2022 года и начале 2023 года. В своих атаках группа использует инструменты с открытым исходным кодом.
Первоначально группа сделала себе имя благодаря атакам на индустрию компьютерных игр. Впоследствии он расширился до более широкого круга целей, включая организации в полупроводниковой промышленности, телекоммуникациях, производстве материалов, фармацевтике, СМИ и рекламе, гостиничном бизнесе, природных ресурсах, финансовых технологиях и пищевой промышленности.
Эксперты предполагают, что эта атака является частью более крупной продолжающейся шпионской кампании, направленной на кражу интеллектуальной собственности организаций в Азии.
Согласно отчету компании, последняя активность Blackfly наблюдалась в конце 2022 года и начале 2023 года. В своих атаках группа использует инструменты с открытым исходным кодом.
- Руткит Backdoor.Winnkit;
- Средство создания дампа учетных данных «lsass.exe» в C:\windows\temp\1.bin;
- Инструмент для создания снимков экрана;
- Инструмент для подмены процессов (Process Hollowing). Внедряет шелл-код в «C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted». Шелл-код представляет собой простое сообщение «Hello World»;
- Инструмент для запросов к базам данных SQL;
- Mimikatz;
- ForkPlayground. PoC-бэкдор для создания дампа памяти произвольного процесса с использованием библиотеки ForkLib;
- Инструмент настройки прокси. Настраивает параметры прокси, внедряя в: «C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted»;
Первоначально группа сделала себе имя благодаря атакам на индустрию компьютерных игр. Впоследствии он расширился до более широкого круга целей, включая организации в полупроводниковой промышленности, телекоммуникациях, производстве материалов, фармацевтике, СМИ и рекламе, гостиничном бизнесе, природных ресурсах, финансовых технологиях и пищевой промышленности.