Μία μέχρι πρότινος άγνωστη ομάδα hacker under the name "Unfading Sea Haze” στοχεύει στρατιωτικές και κυβερνητικές οντότητες στην περιοχή της Θάλασσας της Νότιας Κίνας από το 2018, παραμένοντας απαρατήρητη όλο αυτό το διάστημα.
See also: Guy Verhofstadt: The former Belgian Prime Minister is the victim of Chinese hackers
Οι ερευνητές του Bitdefender που ανακάλυψαν την ομάδα απειλών αναφέρουν ότι οι δραστηριότητές της ευθυγραμμίζονται με τα κινεζικά γεωπολιτικά συμφέροντα, εστιάζοντας στη συλλογή πληροφοριών και την espionage.
Όπως είναι χαρακτηριστικό για τους κινεζικούς φορείς απειλών που χρηματοδοτούνται από το κράτος, η “Unfading Sea Haze” επιδεικνύει επιχειρησιακές επικαλύψεις, TTP και σετ εργαλείων με άλλες ομάδες, κυρίως με την APT41.
Κατάχρηση του MSBuild για κακόβουλο λογισμικό χωρίς αρχεία
Οι αδιάλειπτες επιθέσεις της Unfading Sea Haze ξεκινούν με emails spear-phishing που μεταφέρουν κακόβουλα αρχεία ZIP, που περιέχουν αρχεία LNK μεταμφιεσμένα σε έγγραφα.
Από τον Μάρτιο του 2024, τα τελευταία θέλγητρα που χρησιμοποιήθηκαν σε αυτές τις επιθέσεις αφορούν πολιτικά θέματα των ΗΠΑ, ενώ τα ZIP ονομάστηκαν παραπλανητικά για να φαίνονται ως προγράμματα εγκατάστασης/ενημέρωσης του Windows Defender. Αυτά τα αρχεία LNK περιέχουν μια μακρά ασαφή εντολή PowerShell που θα ελέγξει για την παρουσία ενός εκτελέσιμου αρχείου ESET, ekrn.exe, και εάν υπάρχει, σταματά την attack.
Εάν το εκτελέσιμο αρχείο δεν βρεθεί, το σενάριο PowerShell θα εκτελέσει ένα ενδιαφέρον τέχνασμα για την εκκίνηση κακόβουλου λογισμικού, χωρίς αρχεία απευθείας στη μνήμη, χρησιμοποιώντας τον νόμιμο μεταγλωττιστή γραμμής εντολών msbuild.exe of Microsoft.
See also: Cyber attacks by Chinese hackers are increasing in the Philippines
“Σε αυτήν την επίθεση, οι εγκληματίες ξεκινούν μια νέα διαδικασία MSBuild με μια ανατροπή: καθορίζουν έναν κατάλογο εργασίας που βρίσκεται σε έναν απομακρυσμένο διακομιστή SMB (όπως \154.90.34.83\exchange\info στο παραπάνω παράδειγμα)“, explains το Bitdefender.
“Ρυθμίζοντας τον κατάλογο εργασίας σε μια απομακρυσμένη τοποθεσία, το MSBuild θα αναζητήσει ένα αρχείο έργου σε αυτόν τον απομακρυσμένο server. Εάν βρεθεί ένα αρχείο έργου, το MSBuild θα εκτελέσει τον κώδικα που περιέχει εξ ολοκλήρου στη μνήμη, χωρίς να αφήνει ίχνη στον Computer of the victim.“
Αυτός ο κώδικας που εκτελείται από το MSBuild είναι ένα πρόγραμμα backdoor με το όνομα ‘SerialPktdoor‘, το οποίο δίνει στην Unfading Sea Haze απομακρυσμένο έλεγχο του παραβιασμένου συστήματος.
Η επίθεση χρησιμοποιεί επίσης προγραμματισμένες εργασίες που εκτελούν αβλαβή αρχεία για πλευρική φόρτωση κακόβουλων DLL και χρησιμοποιούν χειρισμό λογαριασμών τοπικού διαχειριστή για τη διατήρηση της επιμονής.
Συγκεκριμένα, οι hackers επαναφέρουν τον κωδικό πρόσβασης για τον λογαριασμό τοπικού διαχειριστή, ο οποίος είναι απενεργοποιημένος από προεπιλογή στα Windows, και τον ενεργοποιούν. Στη συνέχεια, ο λογαριασμός αποκρύπτεται ξανά από την οθόνη σύνδεσης μέσω τροποποιήσεων μητρώου.
See also: Romanian lawmakers targeted by Chinese hackers
Αυτό παρέχει στους παράγοντες απειλών έναν κρυφό λογαριασμό διαχειριστή που μπορεί να χρησιμοποιηθεί για να προωθήσει τις attacks τους. Το Bitdefender υπογραμμίζει την άτυπη στρατηγική της χρήσης εμπορικών εργαλείων Remote Monitoring and Management (RMM), such as the Itarian RMM, στην αλυσίδα επίθεσης για να αποκτήσει βάση στο παραβιασμένο δίκτυο.
Οι επιπτώσεις των κυβερνοεπιθέσεων από Κινέζους hacker, όπως η ομάδα Unfading Sea Haze, σε παγκόσμιο επίπεδο είναι πολυδιάστατες και επηρεάζουν διάφορους τομείς της κοινωνίας και της οικονομίας. Ένας από τους πιο άμεσους και εμφανείς τομείς είναι η οικονομική ζημία που προκαλείται σε επιχειρήσεις και οργανισμούς. Οι επιθέσεις αυτές μπορούν να οδηγήσουν σε απώλειες δεδομένων, διακοπές λειτουργίας και σημαντικά κόστη για την αποκατάσταση των συστημάτων και την ενίσχυση της ασφάλειας. Ένας άλλος σημαντικός τομέας που επηρεάζεται είναι η εθνική ασφάλεια. Οι κυβερνοεπιθέσεις από Κινέζους χάκερ συχνά στοχεύουν κυβερνητικές υπηρεσίες και στρατιωτικές υποδομές, με σκοπό την απόκτηση ευαίσθητων πληροφοριών και την αποσταθεροποίηση των αντιπάλων. Αυτό μπορεί να οδηγήσει σε αυξημένη ένταση μεταξύ κρατών και να επηρεάσει τις διεθνείς σχέσεις. Οι επιθέσεις αυτές έχουν επίσης σημαντικές επιπτώσεις στην τεχνολογική καινοτομία και την πνευματική ιδιοκτησία.
Source: bleepingcomputer
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/en/565852/unfading-sea-haze-krivotan-kivernitika-diktia-6-xronia/&media=https://www.secnews.gr/wp-content/uploads/2024/05/unfading-sea-haze-hackers.png&description=Μία μέχρι πρότινος άγνωστη ομάδα hacker με το όνομα "Unfading Sea Haze" στοχεύει στρατιωτικές και κυβερνητικές οντότητες από το 2018.){kind=link}