Кибершпионы используют новые методы для атак в Юго-Восточной Азии

Согласно последним данным от компании Sophos, в Юго-Восточной Азии активизировались три кибершпионские группы, связанные с Китаем. Они проникают в правительственные организации региона. Эти группы получили кодовые названия Cluster Alpha, Cluster Bravo и Cluster Charlie и ведут свою деятельность под общим названием операции «Crimson Palace».

Группы используют чужие зараженные сети для распространения вредоносных программ и других инструментов, делая это под видом безопасных доступов. Одна из организаций, чья система была скомпрометирована, служила точкой управления и контроля для злоумышленников.

Ключевым элементом атак является использование вредоносного ПО для сбора данных и внедрения в сети целевых организаций. Например, злоумышленники используют такие инструменты, как Cobalt Strike и Havoc, для управления зараженными системами после первоначального проникновения.

Особое внимание уделяется краже важных данных. Преступники стараются укрепить свое присутствие в зараженных сетях, обходя программы защиты от вредоносных программ и восстанавливая доступ к управляющим точкам после блокировки.

Также был обнаружен новый тип кейлоггера с кодовым названием TattleTale. Этот вредоносный инструмент способен собирать информацию из браузеров Google Chrome и Microsoft Edge, а также копировать данные о политиках паролей и безопасности с компьютеров жертв.