Расследование кампании кибершпионажа показало, что APT10, известная как Stone Panda, использовала аналогичную тактику для вторжения в сети как минимум двух других компаний - международного ритейлера одежды и американской юридической фирмы, специализирующейся в области права интеллектуальной собственности.

Исследователи из группы Insikt группы Record Future, а также Rapid7 обнародовали подробности сюжета сегодня в совместно написанном  сообщении в блоге и аналитическом отчете.

Трио организаций подверглось отдельной атаке в период с ноября 2017 года по сентябрь 2018 года. Во всех трех случаях злоумышленники первоначально обращались к сетям компаний, используя действительные украденные пароли для Citrix или LogMeIn. Затем они перечислили доступ и повысили свои привилегии, прежде чем использовать методы боковой загрузки DLL (обычная модель APT10) для доставки вредоносных программ.

Visma была заражена недавно обнаруженной версией трояна удаленного доступа. Как правило, RAT шифрует свои командно-контрольные соединения с использованием потокового шифра RC4, но эта последняя версия использует комбинацию XOR, RC4 и Salsa20, объясняется анализ. Между тем, две другие пострадавшие сети были поражены недавно обнаруженной версией  вредоносной программы UPPERCUT (ANEL). Записанные Future и Rapid7 отмечают, что APT10 имеет историю использования Trochilus и UPPERCUT был связан исключительно с группой.

Хакеры также использовали Mimikatz для кражи учетных данных и отфильтровывали ключевые данные своих жертв через учетную запись Dropbox, используя инструмент командной строки cURL for Windows.

APT10, управляемый разведывательным агентством Министерства государственной безопасности Китая, хорошо известен тем, что нападает на MSP и их клиентов, особенно в рамках кампании, начатой ​​в начале 2017 года под названием Operation Cloud Hopper.

«Доступ к сетям этих сторонних поставщиков услуг дает MSS возможность получить доступ к сетям сотен, если не тысяч, корпораций по всему миру», - говорится в сообщении в блоге. «По нашим оценкам, APT10, вероятно, скомпрометировал Visma с основной целью - обеспечить вторичные вторжения в их клиентские сети, а не воровать интеллектуальную собственность Visma».

Только в декабре прошлого года министерство юстиции США обвинило предполагаемых хакеров, спонсируемых MSS, Чжу Хуа и Чжан Шилуна в многочисленных компьютерных вторжениях, которые привели к краже интеллектуальной собственности.

Подробнее: http://www.scmagazine.com/home/security-news/apts-cyberespionage/report-chinese-cyberspies-hacked-msp-retailer-and-law-firm-in-economic-espionage-campaign/