Kaspersky-forskare noterade en ny kampanj av kinesiska APT-hackers som riktar sig till industriorganisationers system med luftgap i Östeuropa.
Hackare använder enligt uppgift 15 implantat i sin procedur, alla med olika syften, från att upprätthålla fjärråtkomst till att stjäla data. Forskare delade TTP, IoC och andra detaljer för systemadministratörer för att identifiera hotaktiviteten och förbli säkra.
Att stjäla industridata i Europa
Forskare vid Kaspersky har detaljerat den nya kampanjen för APT-31 (en kinesisk statssponsrad hackergrupp även känd som ) som riktar sig till industrisystem med luftgap i Östeuropa.
Till det okända, luftgapsystem är de isolerade maskiner från det offentliga internet och andra datorer i ett nätverk som lagrar viktiga data säkert. Företag har sina affärshemligheter i butik skyddade från externa parter.
Eftersom sådana luftglappade system innehåller avgörande data är hackare intresserade av att rikta sig mot dem, även om det är svårt. De använder ofta extrema social ingenjörsattacker eller USB-enheter för att infektera systemen och spridas på distans därifrån.
Kaspersky noterade en sådan kampanj från APT-31, som startade i maj förra året. I tre steg, hotaktören använder 15 implantat för att få fjärråtkomst, upprätthålla persistens, samla in data och exportera den till hackarens kommando- och kontrollservrar (C2).
Forskare noterade också ett dedikerat implantat som dekrypterar och injicerar dess nyttolast i minnet av en legitim process, sover i 10 minuter och så småningom stjäl alla nödvändiga filer. Skadlig programvara arkiverar de stulna filerna med WinRAR och lagrar dem i tillfälliga lokala mappar, och exporterar slutligen data till Dropbox senare.
Kasperskys tekniska rapport innehåller all nödvändig data, såsom hash för skadlig kod, en komplett uppsättning indikatorer på kompromisser, TTP:er etc., för att identifiera och motverka attackerna och hålla de luftglappade systemen säkra.