Οι γερμανικές εγχώριες υπηρεσίες πληροφοριών BfV (συντομογραφία του Bundesamt für Verfassungsschutz) προειδοποιούν για συνεχιζόμενες επιθέσεις που συντονίζονται από την κινεζική ομάδα hacking APT27.
Δείτε επίσης: Τα botnets Mirai εκμεταλλεύονται τη χαλαρή ασφάλεια του IoT
Αυτή η ενεργή καμπάνια στοχεύει γερμανικούς εμπορικούς οργανισμούς, με τους εισβολείς να χρησιμοποιούν τα HyperBro remote access trojans (RAT) για να παρακάμπτουν τα δίκτυά τους.
Το HyperBro βοηθά τους απειλητικούς παράγοντες να διατηρήσουν την επιμονή στα δίκτυα των θυμάτων, λειτουργώντας ως memory backdoor με δυνατότητες απομακρυσμένης διαχείρισης.
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Η υπηρεσία είπε ότι στόχος της ομάδας είναι να κλέψει ευαίσθητες πληροφορίες και μπορεί να επιχειρήσει να στοχεύσει τους πελάτες των θυμάτων τους σε επιθέσεις στην αλυσίδα εφοδιασμού.
Η υπηρεσία BfV δημοσίευσε και indicators of compromise (IOCs) και κανόνες YARA για να βοηθήσει στοχευμένους γερμανικούς οργανισμούς να ελέγξουν για μολύνσεις HyperBro και συνδέσεις με APT27 command-and-control (C2) servers.
Δείτε επίσης: Το νέο DeadBolt ransomware στοχεύει QNAP NAS συσκευές
Παραβίαση δικτύων μέσω server Zoho και Exchange
Το APT27 (και παρακολουθείται ως TG-3390, Emissary Panda, BRONZE UNION, Iron Tiger και LuckyMouse) είναι μια κινεζική απειλητική ομάδα που δραστηριοποιείται τουλάχιστον από το 2010 και είναι γνωστή για την εστίασή της σε εκστρατείες κλοπής πληροφοριών και κυβερνοκατασκοπείας.
Η γερμανική υπηρεσία πληροφοριών αναφέρει ότι η ομάδα APT27 εκμεταλλεύεται ελαττώματα στο λογισμικό Zoho AdSelf Service Plus, μια λύση διαχείρισης κωδικών πρόσβασης για επιχειρήσεις για εφαρμογές Active Directory και cloud, από τον Μάρτιο του 2021.
Αυτό ευθυγραμμίζεται με προηγούμενες αναφορές ότι οι εγκαταστάσεις Zoho ManageEngine ήταν στόχος πολλαπλών εκστρατειών το 2021, που συντονίζονται από χάκερ εθνικών κρατών χρησιμοποιώντας τακτικές και εργαλεία παρόμοια με αυτά που χρησιμοποιεί η APT27.
Χρησιμοποίησαν αρχικά ένα zero-day exploit ADSelfService μέχρι τα μέσα Σεπτεμβρίου, μετά άλλαξαν σε μια εκμετάλλευση AdSelfService n ημερών και άρχισαν να εκμεταλλεύονται ένα σφάλμα ServiceDesk ξεκινώντας από τις 25 Οκτωβρίου.
Σε αυτές τις επιθέσεις, παραβίασαν με επιτυχία τουλάχιστον εννέα οργανισμούς από κρίσιμους τομείς παγκοσμίως, συμπεριλαμβανομένης της άμυνας, της υγειονομικής περίθαλψης, της ενέργειας, της τεχνολογίας και της εκπαίδευσης, σύμφωνα με ερευνητές του Palo Alto Networks.
Δείτε επίσης: Google Drive: Προειδοποιεί για ύποπτα αρχεία που χρησιμοποιούνται για phishing/malware
Υπό το φως αυτών των εκστρατειών, το FBI και η CISA εξέδωσαν κοινές συμβουλές προειδοποιώντας τους φορείς της APT που εκμεταλλεύονται τα ελαττώματα του ManageEngine για να ρίξουν web shells στα δίκτυα παραβιασμένων οργανισμών υποδομής ζωτικής σημασίας.
Η APT27 και άλλες ομάδες hacking που υποστηρίζονται από την Κίνα συνδέθηκαν και με επιθέσεις που εκμεταλλεύονται κρίσιμα σφάλματα ProxyLogon στις αρχές Μαρτίου 2021 που τους επέτρεψαν να αναλάβουν και να κλέψουν δεδομένα από unpatched Microsoft Exchange servers παγκοσμίως.
Πηγή πληροφοριών: bleepingcomputer.com