Falske konti

Microsoft opdager 42 webdomæner, der bruges af kinesiske hackere

Mandag annoncerede Microsoft beslaglæggelse af 42 domæner, der anvendes af en Kina-baserede cyber spionage gruppe, der har målrettet aktiviteter mod organisationer i USA og 28 andre lande. Beslaglæggelsen skete i henhold til en juridisk arrestordre udstedt af en føderal domstol i den amerikanske stat Virginia.

Nickel

Redmond-virksomheden tilskrev de kriminelle aktiviteter til en gruppe Nickel, der dog i den bredere cybersikkerhedsindustri går under tilnavnet APT15, Bronze Palace, Ke3Chang, Mirage, Playful Dragon og Vixen Panda. APT-aktøren menes at have været aktiv siden 2012.

“Nickel har målrettet organisationer i både den private og offentlige sektor, herunder diplomatiske organisationer og ministerier for udenrigsanliggender i Nordamerika, Mellemamerika, Sydamerika, Caribien, Europa og Afrika,” siger Microsofts Corporate Vice President for Customer Security and Trust, Tom Burt. “Der er ofte en sammenhæng mellem Nickel’s mål og Kinas geopolitiske interesser.”

Slyngelstat

Den slyngelstater infrastruktur gjorde det muligt for hacking besætning til at opretholde langsigtet adgang til de kompromitterede maskiner og udføre angreb til efterretningsindsamling formål rettet mod unavngivne statslige organer, tænketanke og menneskerettighedsorganisationer som en del af en digital spionage kampagne går tilbage til september 2019.

Microsoft malede cyberangrebene som “meget sofistikerede”, der brugte en lang række teknikker, herunder brud på fjernadgangstjenester og udnyttelse af sårbarheder i unpatched VPN-apparater samt Exchange Server- og SharePoint-systemer til at “indsætte malware, der er svære at opdage, der letter indtrængen, overvågning og datatyveri.”

Microsoft 365

Efter at få et første fodfæste, er Nickel blevet taget i implementering af legitimationsoplysninger, dumpingsværktøjer og stealers såsom Mimikatz og Wdigest og at hacke sig ind på ofres konti, efterfulgt af at levere brugerdefinerede malware, der tillod hackeren at opretholde tilstedeværelse på ofrets netværk over længere tid og foretage regelmæssigt planlagt udsivning af filer, udføre vilkårlig shellcode, og indsamle e-mails fra Microsoft 365 konti ved hjælp af kompromitterede legitimationsoplysninger.

Den seneste bølge af angreb er en del af en omfattende liste over surveillanceware kampagner monteret af APT15 gruppe i de seneste år. I juli 2020 afslørede mobilsikkerhedsfirmaet Lookout fire trojaniserede legitime apps – kaldet SilkBean, DoubleAgent, CarbonSteal og GoldenEagle – der var målrettet mod det uyguriske etniske mindretal og det tibetanske samfund med det formål at indsamle og overføre personlige brugerdata til modstanderbetjente kommando- og kontrolservere.

Kinas indflydelse stiger

“Som Kinas indflydelse rundt om i verden fortsætter med at vokse, og nationen etablerer bilaterale forbindelser med flere lande og udvider partnerskaber til støtte for Kinas Belt and Road Initiative, vurderer vi, at Kina-baserede trusselsaktører vil fortsætte med at målrette kunder i regeringen, diplomatiske og NGO-sektorer for at få ny indsigt, sandsynligvis i forfølgelsen af økonomisk spionage eller traditionelle efterretningsindsamling mål, ” lyder det fra Microsoft.

Kilde: The Hacker News