Китайская группа кибершпионажа использовала поддельный новостной сайт для заражения вредоносным ПО правительственных и энергетических объектов в Австралии, Малайзии и Европе, говорится в блоге, опубликованном во вторник в Интернете компаниями Proofpoint и PwC Threat Intelligence.
Группа известна под несколькими названиями, включая APT40, Leviathan, TA423 и Red Ladon. Четырем ее членам в 2021 году Министерство юстиции США предъявило обвинения в хакерских атаках на ряд компаний, университетов и государственных учреждений в США и по всему миру в период с 2011 по 2018 год.
Группа использует свой фальшивый австралийский новостной сайт для заражения посетителей фреймворком для эксплуатации ScanBox.
“ScanBox – это система разведки и эксплуатации, которая используется злоумышленником для сбора нескольких типов информации, таких как публичный IP-адрес цели, тип используемого веб-браузера и его конфигурация”
– пояснил вице-президент Proofpoint по исследованию и обнаружению угроз Шеррод ДеГриппо.
Атаки “Watering Hole” с использованием ScanBox привлекательны для хакеров, поскольку точка компрометации находится не внутри организации жертвы, добавил Джон Бамбенек, главный охотник за угрозами в Netenrich, компании, специализирующейся на операциях ИТ и цифровой безопасности в Сан-Хосе, Калифорния.
“Таким образом, трудно обнаружить, что информация похищается скрытно”, – сказал он TechNewsWorld.
Хакеры часто выдавали себя за сотрудников вымышленного медиа-издания “Australian Morning News”, поясняется в блоге, и предоставляли URL-адрес своего вредоносного домена, предлагая жертвам просмотреть их веб-сайт или поделиться исследовательским контентом, который будет опубликован на сайте.
Если цель нажимала на URL-адрес, она попадала на сайт фальшивых новостей, где без ее ведома ей предлагалась вредоносная программа ScanBox. Чтобы придать своему фальшивому сайту достоверность, злоумышленники размещали на нем материалы с легальных новостных сайтов, таких как BBC и Sky News.
Несмотря на то, что социальная инженерия участвует в 70%-90% всех успешных вредоносных кибератак, редкая организация тратит более 5% своих ресурсов на борьбу с ней, продолжил он.
“Это проблема номер один, а мы относимся к ней как к незначительной части проблемы”, – сказал он. “Именно это фундаментальное несоответствие позволяет злоумышленникам и вредоносным программам быть настолько успешными. До тех пор, пока мы не будем относиться к этому как к проблеме номер один, это будет оставаться основным способом атак злоумышленников. Это просто математика”.
