Хятадтай холбоотой кибер халдлага хийдэг бүлэглэл нь Оросын IT үйлчилгээ үзүүлэгчийг зорьж, 2025 оны 1 сараас 5-р сар хүртэл үргэлжилсэн халдлагыг хэрэгжүүлсэн гэж мэдэгджээ. Энэ нь хакер бүлгийн Зүүн Өмнөд Ази болон Латин Америкийн орнуудаас гадна Оросын зах зээл рүү өргөжсөн гэдгийг харуулж байна.
Энэхүү үйл ажиллагааг Symantec (Broadcom компанийн эзэмшдэг) хакер бүлэглэл "Jewelbug" хэмээн нэрлэсэн бөгөөд энэ нь "CL-STA-0049" (Palo Alto Networks Unit 42), "Earth Alux" (Trend Micro), "REF7707" (Elastic Security Labs) гэх бүлгүүдтэй давхцаж байгаа гэдгийг тэмдэглэсэн байна.
Судалгааны үр дүнгээс үзэхэд, Москва, Бээжингийн хоорондын "цэргийн, эдийн засгийн, дипломат" харилцаа нэмэгдэж буй ч Орос нь Хятадын кибер тагнуулын үйл ажиллагаанаас хамгаалагдсан биш гэдгийг харуулж байна.
"Халдагчид програм хангамжийн кодын хадгаламж болон системийн бүтцийн үйл ажиллагаанд хандах эрхтэй байсан бөгөөд эдгээрийг ашиглан компанийн үйлчлүүлэгчдийг зорьсон хангамжийн гинжин халдлага хийх боломжтой байжээ" гэж Symantec-ийн Threat Hunter баг мэдээлсэн байна. "Түүнчлэн, халдагчид Yandex Cloud руу өгөгдөл гаргаж байжээ."
Earth Alux нь 2023 оны хоёрдугаар улирлаас эхлэн идэвхтэй байсан бөгөөд голчлон Ази-Номхон далайн (APAC) болон Латин Америкийн (LATAM) бүс нутагт төр, технологи, логистик, үйлдвэрлэл, харилцаа холбоо, IT үйлчилгээ, жижиглэн худалдааны салбаруудыг зорьж, VARGEIT, COBEACON (Cobalt Strike Beacon) зэрэг зомби хөтчүүдийг тарааж байжээ.
CL-STA-0049/REF7707 бүлгүүд нь "FINALDRAFT" (Squidoor) гэх нарийн төвөгтэй арын хаалга тархааж, Windows болон Linux системд халдаж байсан нь анх удаа эдгээр бүлгүүдийг холбон үзэж байгаагаар онцлог юм.
Оросын IT үйлчилгээ үзүүлэгчид чиглэсэн халдлагын үед, Jewelbug нь Microsoft Console Debugger ("cdb.exe") нэртэй шинэчилсэн хэрэгсэл ашиглан shellcode ажиллуулах, аппликейшн зөвшөөрлийн жагсаалтыг давах, гүйцэтгэх файлуудыг эхлүүлэх, DLL-г ажиллуулах болон аюулгүй байдлын шийдлүүдийг устгах боломжтой байжээ.
Мөн халдагчид өөрсдийн үйл ажиллагааг нууж, Windows Event Logs-ийг цэвэрлэж, танилтын эрхүүдийг хулгайлах, тогтвор суурьшил бий болгох зэрэг үйлдлүүдийг хийсэн байна.
IT үйлчилгээ үзүүлэгчдийг зорих нь стратегийн ач холбогдолтой, учир нь энэ нь хангамжийн гинжин халдлага хийх боломжийг нээж, халдагчид нэгэн зэрэг олон үйлчлүүлэгчдийг зорих боломжтой болгодог.
Jewelbug нь мөн 2025 оны 7-р сард Өмнөд Америкийн томоохон засгийн газрын байгууллагад халдаж, Microsoft Graph API болон OneDrive-г ашиглан команд удирдлагын систем (C2) байгуулсан шинэ арын хаалга тараасан байна. Энэ нь халдагчдын хүчин чадал хөгжиж байгааг илтгэж байгаа бөгөөд арын хаалга нь системийн мэдээллийг цуглуулж, файлуудыг тоолох, өгөгдлийг OneDrive руу ачаалах боломжтой.
Microsoft Graph API ашиглах нь халдагчдын хэвийн сүлжээний хөдөлгөөнтэй нийлж, шинжилгээ хийхэд хялбаргүй, мөрдөхөд хүнд болж өгдөг.
Цаашилбал, энэ бүлэг нь 2024 оны 10, 11 сард Өмнөд Азийн IT үйлчилгээ үзүүлэгч болон Тайваний компанид халдлага үйлдсэн байна. Тайваньд хийсэн халдлага нь DLL талбайн жийргэвч ашиглан, харин Чингис хаан бүлэглэлийн ашигладаг ShadowPad гэх арын хаалга тархаахдаа хэрэглэсэн байна.
Халдлага нь мөн KillAV хэрэгслийг аюулгүй байдлын програм хангамжийг унтуулж, EchoDrv зэрэг нийтэд зориулсан хэрэгслүүдийг ашиглан драйверийн илэрхий дутагдлыг ашигласан нь харуулж байна.
https://thehackernews.com
