Цифровой дипломатический кризис: Филиппины в сетевой осаде китайских хакеров

Stately Taurus ведёт масштабные атаки на правительственные структуры островного государства.


mtmrgf3pyil7eo5hr19nwm7r0k8760b7.jpg


В последние месяцы обострились отношения между Китаем и Филиппинами. В августе китайский береговой сторожевик использовал водомёт против филиппинского судна у спорного атолла в архипелаге Спратли. Филиппины, в свою очередь, объявили о совместных патрулях с США и военных учениях с Австралией, а также прекратили работу горячей линии с Китаем и начали демонтаж китайских заграждений у спорной территории.

На фоне обострения отношений в мире материальном, в цифровом пространстве произошло то же самое. Исследователи из подразделения Unit 42 компании Palo Alto Networks зафиксировали сразу три вредоносные кампании китайской группировки Stately Taurus, нацеленные на государственные структуры Южно-Китайского моря, включая правительство Филиппин.

Злоумышленники использовали легитимное программное обеспечение, такое как Solid PDF Creator и SmadavProtect, для внедрения вредоносных файлов, имитируя при этом легитимный трафик Microsoft .

Группа Stately Taurus , известная также как Mustang Panda и Red Delta , активна с 2012 года. Это китайская группа кибершпионажа, нацеленная на правительственные учреждения, некоммерческие и религиозные организации в Северной Америке, Европе и Азии.

Первая рассмотренная исследователями кампания Stately Taurus началась 1 августа этого года с вредоносного пакета на Google Drive . Вторая кампания, запущенная 3 августа, использовала зашифрованный путь с множеством папок. Третья кампания 16 августа была структурно идентична первой.

IP-адрес «45.121.146[.]113», связанный со Stately Taurus, использовался для маскировки трафика как легитимного трафика Microsoft. Мониторинг показал множественные подключения к этому серверу от филиппинских правительственных структур.

Активность Stately Taurus в августе указывает на успешное проникновение в правительственные структуры Филиппин. Группа продолжает проводить глобальные кибершпионские операции, связанные с геополитическими интересами Китая.

Исследователи предоставили индикаторы компрометации ( IoC ) выявленной угрозы, чтобы сторонние поставщики безопасности могли настроить соответствующие защитные правила.

Чтобы уберечь свою компанию от подобных угроз специалисты Palo Alto Networks рекомендуют использовать NGFW , XDR , XSOAR или XSIAM -решения. Лишь комплексная безопасность сможет по-настоящему защитить организации от хакеров.