Group IB

Группировка APT27 активно атакует компьютерные сети компаний в Германии

28.01.2022
Группировка APT27 активно атакует компьютерные сети компаний в Германии

Федеральное ведомство по охране конституции Германии (Bundesamt für Verfassungsschutz, BfV) предупредило о текущих атаках, координируемых китайской хакерской группировкой APT27 (также известной как TG-3390, Emissary Panda, BRONZE UNION, Iron Tiger и LuckyMouse), пишет SecurityLab.

Вредоносная кампания нацелена на немецкие коммерческие организации. Злоумышленники используют троян для удаленного доступа HyperBro для внедрения бэкдоров в сети. HyperBro позволяет хакерам обеспечивать себе персистентность в сетях жертв, действуя как бэкдор в памяти с возможностями удаленного администрирования. Группировка стремится украсть конфиденциальную информацию, а также атаковать клиентов своих жертв (атака на цепочку поставок).

BfV опубликовало индикаторы компрометации и правила YARA с целью помочь немецким организациям проверить свои системы на предмет наличия HyperBro и подключений к командным серверам APT27.

APT27 с марта 2021 года использует уязвимости в программном обеспечении Zoho AdSelf Service Plus — корпоративном решении для управления паролями для Active Directory и облачных приложений. Хакеры эксплуатировали уязвимость нулевого дня в ADSelfService ( CVE-2021-40539 до середины сентября прошлого года, а с 25 октября начали эксплуатировать уязвимость в ServiceDesk ( CVE-2021-44077 ).

По данным компании Palo Alto Networks, в ходе атак группировка успешно скомпрометировала как минимум девять организаций из важнейших секторов по всему миру, включая оборону, здравоохранение, энергетику, технологии и образование.