Крупная американская компания с активами в Китае подверглась кибератаке, проведенной китайскими злоумышленниками с апреля по август 2024 года. Эксперты Symantec установили, что целью атаки был сбор разведывательной информации, включая кражу данных с серверов Exchange.
Название компании не раскрывается, но в 2023 году она также пострадала от действий группировки «Daggerfly». Первая зафиксированная активность в текущей атаке датирована 11 апреля 2024 года, когда злоумышленники использовали команды управления Windows (WMI) и сняли дампы реестра.
Хакеры применяли PowerShell для запроса Active Directory, используемый метод известен как «Kerberoasting». Позже они задействовали переименованный FileZilla (putty.exe), а также PowerShell, WinRAR и PSCP для извлечения данных.
На взломанных устройствах обнаружены файлы, ранее ассоциировавшиеся с китайской группировкой «Crimson Palace». Злоумышленники обеспечили устойчивость в сети с помощью реестра и применяли WMI, PowerShell и PsExec для анализа событий, проверки соединений и получения информации о доменных группах.
13 июня на пятом устройстве запустили вредоносную DLL через «iTunesHelper.exe».
Хакеры использовали структурированный подход, распределяя роли между машинами. Применение открытых инструментов (FileZilla, PuTTY, Impacket) и тактики «жизни за счет земли» указывает на китайское происхождение атаки.
В США выявили новую серию атак китайской кибергруппировки Storm-2077
