- Według raportu Check Point Research chińskie grupy szpiegowskie atakowały jednostki rządowe w Azji Południowo-Wschodniej przy użyciu złośliwego oprogramowania
- Ataki rozpoczęły się na początku 2022 roku i były przeprowadzane przy użyciu e-maili typu spear phishing zawierających linki do złośliwych stron internetowych. Po wejściu do sieci celu atakujący stosowali różne taktyki w celu zebrania poufnych informacji.
- Check Point Research uważa, że ataki są częścią większych wysiłków chińskich agencji wywiadowczych w celu gromadzenia danych wywiadowczych i wywierania wpływu w Azji Południowo-Wschodniej, regionie strategicznie ważnym dla geopolitycznych interesów Chin.
Chińska kampania cyberszpiegowska rozszerza się na kolejne rządy Azji Południowo-Wschodniej – Wietnam, Tajlandię i Indonezję. Kampania, przypisywana chińskiej grupie APT SharpPanda, wykorzystuje platformę szkodliwego oprogramowania o nazwie „Soul” do kradzieży informacji i szpiegowania działań rządu – informują analitycy bezpieczeństwa cybernetycznego z Check Point Research, którzy szczegółowo opisali łańcuch infekcji w swoim raporcie.
Eksperci bezpieczeństwa cybernetycznego alarmują, że są swiadkami kampanii cyberszpiegowskiej, której celem są rządy Azji Południowo-Wschodniej, w tym Wietnam, Tajlandia i Indonezja. W czerwcu 2021 r. grupa badawcza Check Point Research zidentyfikowała chińską grupę APT o nazwie SharpPanda, która wykorzystywała luki w zabezpieczeniach i kampanie typu spear phishing w celu uzyskania dostępu do sieci docelowych. Od tego czasu analitycy nadal śledzą aktywność SharpPanda.
W nowych atakach, realizowanych od końca 2023 roku, „ładunki” wykorzystują tak zwaną modułową strukturę Soul, wcześniej nieprzypisaną modułową strukturę szkodliwego oprogramowania. Chociaż platforma Soul jest używana od co najmniej 2017 r., stojący za nią cyberprzestępcy stale ją aktualizują, udoskonalając jej architekturę i możliwości.
Atak rozpoczyna się jako phishing ze złośliwym dokumentem zawierającym zdalny szablon z exploitem. Exploit uruchamia wbudowany downloader, który pomaga uruchomić backdoor Soul.
Chociaż struktura złośliwego oprogramowania Soul była wcześniej opisana przez firmę Semantic na podstawie kampanii szpiegowskiej skierowanej do sektorów obrony, opieki zdrowotnej i ICT w Azji Południowo-Wschodniej, nigdy wcześniej nie była przypisywana ani powiązana z żadnym znanym ugrupowaniem cyberprzestępczym. Obecnie nie jest pewne, czy framework Soul jest wykorzystywany wyłącznie przez jedną grupę.
– Jesteśmy świadkami chińskiej operacji cyberszpiegowskiej wymierzonej w jednostki rządowe Azji Południowo-Wschodniej, w tym Wietnam, Tajlandię i Indonezję. Po raz pierwszy dostrzeżono interesujące połączenie między dwoma zestawami narzędzi do ataku. Na podstawie ustaleń technicznych przedstawionych w naszym badaniu uważamy, że kampania ta jest zorganizowana przez zaawansowanych cyberprzestępców wspieranych przez Chiny, których inne narzędzia, możliwości i pozycja w szerszej sieci działań szpiegowskich nie zostały jeszcze zbadane – wyjaśnia Eli Smadia, kierownik grupy badawczej w Check Point Software.
Zdaniem specjalistów z Check Point Research, związek między narzędziami Sharp Panda a wspomnianymi wcześniej atakami w Azji Południowo-Wschodniej to kolejny przykład kluczowych cech charakterystycznych dla chińskich operacji APT, takich jak dzielenie się niestandardowymi narzędziami między grupami lub specjalizacja zadań cyberprzestępców. Według analityków Check Pointa głównym motywem napastników jest kradzież danych i szpiegowanie podmiotów rządowych.
– Podczas gdy poprzednie kampanie Sharp Panda dostarczyły niestandardowego i unikalnego backdoora o nazwie VictoryDll, ładunkiem tego konkretnego ataku jest nowa wersja programu SoulSearcher, który ostatecznie ładuje modułową strukturę Soul. Chociaż próbki tego środowiska z lat 2017-2021 były analizowane wcześniej, jest to najobszerniejszy udokumentowany łańcuch infekcji z rodziny złośliwego oprogramowania Soul, w tym pełna analiza techniczna najnowszej wersji, skompilowana pod koniec 2022 r. – dodaje ekspertka firmy Check Point Software.
