CactusPete atacă organizații din estul Europei

Deși campaniile grupării chineze de criminalitate cibernetică CactusPete nu sunt foarte sofisticate din punct de vedere tehnic, acestea sunt destul de reușite.

Specialiștii companiei Kaspersky au dezvăluit detalii despre recentele atacuri ale grupării chineze de criminalitate cibernetică CactusPete, în cadrul cărora hackerii au folosit o versiune actualizată a backdoorului Bisonal.

CactusPete, cunoscută și sub denumirea de Karma Panda sau Tonto Team, activează din 2013. De obicei, țintele sale sunt organizațiile militare și diplomatice, precum și obiectivele de infrastructură din Asia și Europa de Est. Campaniile grupării sunt destul de reușite, chiar dacă excelează din punct de vedere tehnic, au mai remarcat cercetătorii de la Kaspersky Lab.

În timpul atacurilor lansate începând cu luna februarie 2020 asupra unor instituții militare și financiare din estul Europei, CactusPete a folosit o nouă versiune a backdoorului Bisonal.

Specialiștii nu au reușit încă să elucideze modalitatea prin care atacatorii au infectat sistemele informatice în acestă campanie. Anterior, CactusPete utilizau phishingul pentru a exploata vulnerabilități necorectate și a se infiltra în rețea.

Odată ajuns în sistemul victimei, programul malițios al celor de la CactusPete trimite către serverul C&C al atacatorului diverse informații despre rețea, cum ar fi adresele IP și MAC, versiunea OS, ora infecției, date despre proxy sau cele despre utilizarea unui mediu virtual.

Backdoorul Bisonal permite încărcarea, descărcarea și ștergerea de fișiere, precum și extragerea listei de drivere și fișiere dintr-un folder specific.

Pe lângă Bisonal, arsenalul grupării mai include versiuni personalizate ale instrumentului Mimikatz, keylogger-uri, backdoorul DoubleT, etc.

În plus, experții au observat utilizarea malware-ului ShadowPad, ceea ce poate indica susținere pentru CactusPete din partea altor grupări presupus chineze care utilizau de obicei acest program malițios. ShadowPad a mai fost folosit în atacuri împotriva diferitor organizații din sectorul apărării, energiei, mineritului și telecomunicațiilor din Coreea de Sud sau Hong Kong.

Leave a Reply

Your email address will not be published. Required fields are marked *