В конце прошлой недели австралийское правительство опубликовало информацию об усилении деструктивной кибер-активности в отношении сетей, принадлежащих правительственным агентствам и компаниям в стране. Правительство утверждает, что за атакой стоит «изощренный» противник, который полагается на слегка модифицированный эксплойт для уязвимостей прошлого года. Неофициальные источники связывают эту активность с Китаем. О реализации атаки Атаки нацелены на общедоступную инфраструктуру с помощью средств удаленного выполнения кода, через бреши в непропатченных версиях пользовательского интерфейса Telerik. Австралийский центр кибербезопасности (ACSC) выпустил уже 4-е (1, 2, 3, 4) предупреждение о найденных уязвимостях в Telerik UI (CVE-2019-18935, CVE-2017-9248, CVE-2017-11317, CVE-2017-11357). Для каждой из указанных критических уязвимостей был опубликован код эксплойта. Важно отметить, что CVE-2019-18935 был использован несколькими хакерскими группами, так, недавно объявили о Blue Mockingbird (от фирмы по кибербезопасности Red Canary) для целей майнинга криптовалюты. ACSC утверждает, что злоумышленник также использовал уязвимость десериализации VIEWSTATE в Microsoft Internet Information Services (IIS) для загрузки веб-оболочки, уязвимость Microsoft SharePoint 2019 года (CVE-2019-0604) и уязвимость CVE-2019-19781 в Citrix. Все они критически важные. Если атакующие не могли получить доступ, используя бреши, то переходили к фишингу с целью сбора учетных данных, загрузки malwre, кражи OAuth-токенов Office 365. Также активно использовали «службы отслеживания электронной почты, чтобы идентифицировать события открытия электронной почты и отслеживания кликов», - отмечается в сообщении ACSC. Расследование ACSC показало, что атакующие тщательно маскировали свои операции, стараясь не оставлять признаков «подрывной или разрушительной деятельности в среде жертвы». Китайский след Набор инструментов, используемый злоумышленником, затрудняет приписывание атак конкретному действующему лицу, хотя правительство Австралии уверено, что атака организована с привлечение ресурсов спецслужб. В то время как премьер-министр уклонился от комментариев, сказав только, что не многие спецслужбы могут проводить операции такого типа, высокопоставленные источники сообщили Australia’s ABC News, что Китай вполне может быть в списке подозреваемых. Одна из связей с Китаем - использование этой угрозой вредоносных программ, связанных с китайскими проправительственными хакерскими группами. В списке индикаторов активности (IoCs), предоставленном ACSC, есть одна выборка, которая выделяется особо. Несколько инструментов из неё на Virus Total обнаруживаются как Korplug. Имя фигурирует в отчете ESET о OceanLotus, который, как полагают, базируется во Вьетнаме. Тем не менее, этот конкретный пример представляет собой PlugX, и ESET классифицирует его как Korplug, потому что два семейства вредоносных программ используют определенный метод подмены DLL. PlugX существует не менее 2008 года и упоминается в многочисленных отчетах компаний по кибербезопасности о кампаниях атак, связанных с Китаем. В атаках, о которых сообщал ACSC, вредоносная программа использовалась для загрузки полезной нагрузки Cobalt Strike. Отчет Palo Alto Networks за 2015 год связывает вредоносное ПО с DragonOK, которое они связывают с Китаем уже через два года. В сообщении этого года Avira сообщает, что группа Mustang Panda использовала PlugX и Cobalt Strike в атаках в Гонконге, Вьетнаме, Китае и Австралии. По крайней мере, 10 действующих лиц, связанных с угрозами, связаны с Китаем и занимаются шпионской деятельностью, и в их наборе инструментов есть PlugX: APT41 (a.k.a. Barium, Blackfly, Group 72, Wicked Panda, Bronze Atlas) Deep Panda (a.k.a. Shell Crew, Bronze Express, Kung Fu Kittens, Black Vine, PinkPanther, WebMasters) APT19 (a.k.a. Codoso, Sunshop Group, Bronze Firestone, C0d0so0) APT17 (a.k.a. Deputy Dog, Tailgater Team, Bronze Keystone) Suckfly (a.k.a. Bronze Olive) DragonOK (a.k.a. Danti, Bronze Overbrook) Mustang Panda (a.k.a. Bronze President) APT10 (a.k.a. Stone Panda, MenuPass, Potassium, Bronze Riverside, Hogfish, Red Apollo) APT27 (a.k.a. Bronze Union, Emissary Panda, Iron Tiger, Lucky Mouse, TG-3390) Roaming Tiger (a.k.a. Rotten Tomato, Bronze Woodland) При наличии такого количества групп подозреваемых трудно отнести атаку в Австралии к конкретному действующему лицу, но, исходя из наличия только PlugX, легко понять, почему высокопоставленные чиновники выделяют Китай в качестве основного подозреваемого. Источник: https://www.bleepingcomputer.com/ne...ware-used-in-attacks-against-australian-orgs/