Согласно новому отчету Mandiant, предположительно связанная с Китаем группировка проводила серию шпионских атак на Филиппинах, используя USB-устройства в качестве начального вектора заражения.
Mandiant отслеживает кластер угроз под своим неклассифицированным названием UNC4191. Согласно анализу артефактов, использованных при вторжениях, кампания проводилась в сентябре 2021 года.
Атаки затронули ряд организаций государственного и частного секторов, в первую очередь в Юго-Восточной Азии, а также в США, Европе и Азиатско-Тихоокеанском регионе. Однако, даже когда целевые организации находились в других местах, определенные системы, на которые нацелена UNC4191, также оказывались физически расположенными на Филиппинах.
По словам экспертов, атаки привели к развертыванию новых семейств вредоносных программ под названием MISTCLOAK, DARKDEW, BLUEHAZE, а также Ncat – сетевая утилита командной строки, которая используется для создания обратной оболочки в системе жертвы.
Цепочка атак UNC4191
Когда пользователь подключает к компьютеру скомпрометированное USB-устройство, активируется MISTCLOAK, выступая в качестве панели запуска для зашифрованной полезной нагрузки DARKDEW. DARKDEW, в свою очередь, заражает съемные диски, распространяется на дополнительные системы и собирает данные из Air Gap систем (
Источник: SecurityLab