Check Point Research (CPR) locates an ongoing cyber espionage operation targeting Russian defense research institutes. The business, which is attributed to Chinese national government agencies, uses spear-phishing e-mails sent under the pretext of the Russian Ministry of Health to collect sensitive information.
Τα μηνύματα ηλεκτρονικού ταχυδρομείου που έπιασε το CPR περιείχαν κακόβουλα έγγραφα που χρησιμοποιούσαν τις δυτικές κυρώσεις κατά της Ρωσίας ως δόλωμα, μεταξύ άλλων τεχνικών κοινωνικής μηχανικής. Οι απειλητικοί φορείς κατάφεραν να αποφύγουν τον εντοπισμό για σχεδόν 11 μήνες χρησιμοποιώντας νέα και μη τεκμηριωμένα εργαλεία, τα οποία το CPR περιγράφει τώρα λεπτομερώς για πρώτη φορά. Η CPR ονόμασε την εκστρατεία "Twisted Panda" για να αντανακλά την πολυπλοκότητα των εργαλείων που παρατηρήθηκαν και εντοπίστηκαν στην Κίνα.
The Russian victims belong to a company managementof the Russian state defense group Rostec Corporation, Russia's largest holding company in the radio electronics industry.
Τα μηνύματα ηλεκτρονικού ταχυδρομείου περιείχαν τις γραμμές θέματος "Κατάλογος των προσώπων που τελούν υπό αμερικανικές κυρώσεις για την εισβολή στην Ukraine" και "ΗΠΑ εξάπλωση θανατηφόρων παθογόνων στη Λευκορωσία"
The campaign has multiple overlaps with Chinese cyber espionage operators, including APT10 and Mustang Panda
Η Check Point Research (CPR) εντόπισε μια συνεχιζόμενη επιχείρηση κατασκοπείας στον κυβερνοχώρο με στόχο ρωσικά ινστιτούτα αμυντικής έρευνας. Η επιχείρηση, η οποία αποδίδεται σε κινεζικούς εθνικούς κρατικούς φορείς απειλών, βασίζεται σε τεχνικές κοινωνικής μηχανικής, και συγκεκριμένα σε δολώματα που σχετίζονται με κυρώσεις, για τη συλλογή ευαίσθητων πληροφοριών. Οι απειλητικοί φορείς κατάφεραν να αποφύγουν την ανίχνευση για σχεδόν 11 μήνες χρησιμοποιώντας νέα και μη τεκμηριωμένα εργαλεία, έναν εξελιγμένο πολυεπίπεδο φορτωτή και μια κερκόπορτα με την ονομασία SPINNER. Η CPR ονόμασε αυτή την εκστρατεία "Twisted Panda" για να αντανακλά την πολυπλοκότητα των εργαλείων που παρατηρήθηκαν και την απόδοση στην Κίνα.
Goals
CPR has identified three defense targets, two in Russia and one in Belarus. The Russian victims belong to a holding company of the Russian state defense group Rostec Corporation, which is the largest holding company in Russia in the radio electronics industry. The main activity of the Russian victims concerns the development and construction of electronic warfare systems, specialized military radio-electronic equipment on board, air radar stations and state identification means. Research entities are also involved in avionics systems for civil aviation, the development of a variety of policy products, such as medical equipment and control systems for the energy, transportation and engineering industries.
Attack methodology
Initially, attackers send a specially designed e-mail to their targets. Phishing. The e-mail contains a document that uses Western sanctions against Russia as bait. When the victim opens the document, it downloads the malicious code from the attacker-controlled server, which secretly installs and executes a backdoor on the victim's machine. This backdoor collects data about the infected machine and sends it back to the attacker. Based on this information, the attacker can further use the backdoor to execute additional commands on the victim's machine or collect sensitive data from it.
Malicious emails
The perpetrators use malicious spear-Phishing email που χρησιμοποιούν τεχνικές κοινωνικής μηχανικής. Στις 23 Μαρτίου, κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου εστάλησαν σε διάφορα ινστιτούτα αμυντικής έρευνας που εδρεύουν στη Ρωσία. Τα μηνύματα ηλεκτρονικού ταχυδρομείου, τα οποία είχαν ως θέμα "List of persons under US sanctions for invading Ukraine" (Κατάλογος των προσώπων που βρίσκονται υπό τις κυρώσεις των ΗΠΑ για την εισβολή στην Ουκρανία), περιείχαν έναν σύνδεσμο προς έναν ελεγχόμενο από τους επιτιθέμενους ιστότοπο που μιμείται το Υπουργείο Υγείας της Ρωσίας και είχε συνημμένο ένα κακόβουλο έγγραφο. Την ίδια ημέρα, ένα παρόμοιο μήνυμα ηλεκτρονικού ταχυδρομείου εστάλη επίσης σε μια άγνωστη οντότητα στο Μινσκ της Λευκορωσίας με θέμα "Εξάπλωση θανατηφόρων παθογόνων στις ΗΠΑ στη Λευκορωσία". Όλα τα επισυναπτόμενα έγγραφα είναι κατασκευασμένα έτσι ώστε να μοιάζουν με επίσημα έγγραφα του ρωσικού Υπουργείου Υγείας, που φέρουν το επίσημο έμβλημα και τον τίτλο του.
Report
This Company Tactics, Techniques and Procedures (TTP) allow CPR to translate action into Chinese APT activity. The Twisted Panda campaign features multiple overlays with Chinese advanced and long-standing cyber espionage operators, including APT10 and Mustang Panda.
Ita Cohen, Head of Research at Check Point Software said:
"Αποκαλύψαμε μια συνεχιζόμενη επιχείρηση κατασκοπείας εναντίον ρωσικών ινστιτούτων αμυντικής έρευνας, η οποία διεξάγεται από έμπειρους και εξελιγμένους φορείς απειλών που υποστηρίζονται από την Κίνα. Η έρευνά μας δείχνει ότι πρόκειται για μέρος μιας ευρύτερης επιχείρησης που βρίσκεται σε εξέλιξη κατά οντοτήτων που σχετίζονται με τη Ρωσία εδώ και περίπου ένα χρόνο."
"Ανακαλύψαμε δύο στοχευμένα αμυντικά ερευνητικά ιδρύματα στη Ρωσία και μία οντότητα στη Λευκορωσία. Ίσως το πιο εξελιγμένο μέρος της εκστρατείας είναι η συνιστώσα κοινωνικής μηχανικής. Ο συγχρονισμός των επιθέσεων και τα δέλεαρ που χρησιμοποιούνται είναι έξυπνα. Από τεχνική άποψη, η ποιότητα των εργαλείων και η απόκρυψή τους είναι πάνω από το μέσο όρο, ακόμη και για ομάδες APT. Πιστεύω ότι τα ευρήματά μας χρησιμεύουν ως περισσότερες αποδείξεις ότι η κατασκοπεία είναι μια συστηματική και μακροπρόθεσμη προσπάθεια στην service των στρατηγικών στόχων της Κίνας για την επίτευξη τεχνολογικής υπεροχής. Σε αυτή την έρευνα, είδαμε πώς οι Κινέζοι κρατικά χρηματοδοτούμενοι επιτιθέμενοι εκμεταλλεύονται τον συνεχιζόμενο πόλεμο μεταξύ Ρωσίας και Ουκρανίας, εξαπολύοντας προηγμένα εργαλεία εναντίον αυτού που θεωρείται στρατηγικός εταίρος - της Ρωσίας".
