Μία μέχρι πρότινος άγνωστη ομάδα hacker με το όνομα “Unfading Sea Haze” στοχεύει στρατιωτικές και κυβερνητικές οντότητες στην περιοχή της Θάλασσας της Νότιας Κίνας από το 2018, παραμένοντας απαρατήρητη όλο αυτό το διάστημα.
Δείτε επίσης: Guy Verhofstadt: Θύμα Κινέζων hackers ο πρώην πρωθυπουργός του Βελγίου
Οι ερευνητές του Bitdefender που ανακάλυψαν την ομάδα απειλών αναφέρουν ότι οι δραστηριότητές της ευθυγραμμίζονται με τα κινεζικά γεωπολιτικά συμφέροντα, εστιάζοντας στη συλλογή πληροφοριών και την κατασκοπεία.
Όπως είναι χαρακτηριστικό για τους κινεζικούς φορείς απειλών που χρηματοδοτούνται από το κράτος, η “Unfading Sea Haze” επιδεικνύει επιχειρησιακές επικαλύψεις, TTP και σετ εργαλείων με άλλες ομάδες, κυρίως με την APT41.
Κατάχρηση του MSBuild για κακόβουλο λογισμικό χωρίς αρχεία
Οι αδιάλειπτες επιθέσεις της Unfading Sea Haze ξεκινούν με emails spear-phishing που μεταφέρουν κακόβουλα αρχεία ZIP, που περιέχουν αρχεία LNK μεταμφιεσμένα σε έγγραφα.
Από τον Μάρτιο του 2024, τα τελευταία θέλγητρα που χρησιμοποιήθηκαν σε αυτές τις επιθέσεις αφορούν πολιτικά θέματα των ΗΠΑ, ενώ τα ZIP ονομάστηκαν παραπλανητικά για να φαίνονται ως προγράμματα εγκατάστασης/ενημέρωσης του Windows Defender. Αυτά τα αρχεία LNK περιέχουν μια μακρά ασαφή εντολή PowerShell που θα ελέγξει για την παρουσία ενός εκτελέσιμου αρχείου ESET, ekrn.exe, και εάν υπάρχει, σταματά την επίθεση.
Εάν το εκτελέσιμο αρχείο δεν βρεθεί, το σενάριο PowerShell θα εκτελέσει ένα ενδιαφέρον τέχνασμα για την εκκίνηση κακόβουλου λογισμικού, χωρίς αρχεία απευθείας στη μνήμη, χρησιμοποιώντας τον νόμιμο μεταγλωττιστή γραμμής εντολών msbuild.exe της Microsoft.
Δείτε ακόμα: Οι κυβερνοεπιθέσεις από Κινέζους hackers αυξάνονται στις Φιλιππίνες
“Σε αυτήν την επίθεση, οι εγκληματίες ξεκινούν μια νέα διαδικασία MSBuild με μια ανατροπή: καθορίζουν έναν κατάλογο εργασίας που βρίσκεται σε έναν απομακρυσμένο διακομιστή SMB (όπως \154.90.34.83\exchange\info στο παραπάνω παράδειγμα)“, εξηγεί το Bitdefender.
“Ρυθμίζοντας τον κατάλογο εργασίας σε μια απομακρυσμένη τοποθεσία, το MSBuild θα αναζητήσει ένα αρχείο έργου σε αυτόν τον απομακρυσμένο διακομιστή. Εάν βρεθεί ένα αρχείο έργου, το MSBuild θα εκτελέσει τον κώδικα που περιέχει εξ ολοκλήρου στη μνήμη, χωρίς να αφήνει ίχνη στον υπολογιστή του θύματος.“
Αυτός ο κώδικας που εκτελείται από το MSBuild είναι ένα πρόγραμμα backdoor με το όνομα ‘SerialPktdoor‘, το οποίο δίνει στην Unfading Sea Haze απομακρυσμένο έλεγχο του παραβιασμένου συστήματος.
Η επίθεση χρησιμοποιεί επίσης προγραμματισμένες εργασίες που εκτελούν αβλαβή αρχεία για πλευρική φόρτωση κακόβουλων DLL και χρησιμοποιούν χειρισμό λογαριασμών τοπικού διαχειριστή για τη διατήρηση της επιμονής.
Συγκεκριμένα, οι hackers επαναφέρουν τον κωδικό πρόσβασης για τον λογαριασμό τοπικού διαχειριστή, ο οποίος είναι απενεργοποιημένος από προεπιλογή στα Windows, και τον ενεργοποιούν. Στη συνέχεια, ο λογαριασμός αποκρύπτεται ξανά από την οθόνη σύνδεσης μέσω τροποποιήσεων μητρώου.
Δείτε επίσης: Ρουμάνοι νομοθέτες στοχοποιήθηκαν από Κινέζους χάκερς
Αυτό παρέχει στους παράγοντες απειλών έναν κρυφό λογαριασμό διαχειριστή που μπορεί να χρησιμοποιηθεί για να προωθήσει τις επιθέσεις τους. Το Bitdefender υπογραμμίζει την άτυπη στρατηγική της χρήσης εμπορικών εργαλείων Απομακρυσμένης Παρακολούθησης και Διαχείρισης (RMM), όπως το Itarian RMM, στην αλυσίδα επίθεσης για να αποκτήσει βάση στο παραβιασμένο δίκτυο.
Οι επιπτώσεις των κυβερνοεπιθέσεων από Κινέζους hacker, όπως η ομάδα Unfading Sea Haze, σε παγκόσμιο επίπεδο είναι πολυδιάστατες και επηρεάζουν διάφορους τομείς της κοινωνίας και της οικονομίας. Ένας από τους πιο άμεσους και εμφανείς τομείς είναι η οικονομική ζημία που προκαλείται σε επιχειρήσεις και οργανισμούς. Οι επιθέσεις αυτές μπορούν να οδηγήσουν σε απώλειες δεδομένων, διακοπές λειτουργίας και σημαντικά κόστη για την αποκατάσταση των συστημάτων και την ενίσχυση της ασφάλειας. Ένας άλλος σημαντικός τομέας που επηρεάζεται είναι η εθνική ασφάλεια. Οι κυβερνοεπιθέσεις από Κινέζους χάκερ συχνά στοχεύουν κυβερνητικές υπηρεσίες και στρατιωτικές υποδομές, με σκοπό την απόκτηση ευαίσθητων πληροφοριών και την αποσταθεροποίηση των αντιπάλων. Αυτό μπορεί να οδηγήσει σε αυξημένη ένταση μεταξύ κρατών και να επηρεάσει τις διεθνείς σχέσεις. Οι επιθέσεις αυτές έχουν επίσης σημαντικές επιπτώσεις στην τεχνολογική καινοτομία και την πνευματική ιδιοκτησία.
Πηγή: bleepingcomputer
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/565852/unfading-sea-haze-krivotan-kivernitika-diktia-6-xronia/&media=https://www.secnews.gr/wp-content/uploads/2024/05/unfading-sea-haze-hackers.png&description=Μία μέχρι πρότινος άγνωστη ομάδα hacker με το όνομα "Unfading Sea Haze" στοχεύει στρατιωτικές και κυβερνητικές οντότητες από το 2018.){kind=link}