Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Хакери користеле Snappybee малициозен софтвер и искористиле Citrix ранливост за да пробијат во европска телекомуникациска мрежа

Објавено: 21.10.2025

Една европска телекомуникациска организација била цел на актери на закана кои се поврзуваат со кинеската сајбер-шпионска група Salt Typhoon.

Според компанијата Darktrace, организацијата била нападната во првата недела на јули 2025 година, при што напаѓачите ја искористиле ранливоста на Citrix NetScaler Gateway уред за да добијат почетен пристап.

Salt Typhoon, позната и како Earth Estries, FamousSparrow, GhostEmperor и UNC5807, е име дадено на напредна постојана закана (APT) поврзана со Кина. Групата е активна од 2019 година и стана позната минатата година поради своите напади врз телекомуникациски провајдери, енергетски мрежи и владини системи во САД.

Овој противник има докажана историја на искористување на безбедносни ранливости во edge-уреди, одржување долгорочен пристап и извлекување чувствителни податоци од жртви во повеќе од 80 земји низ Северна Америка, Европа, Блискиот Исток и Африка.

Во инцидентот против европската телекомуникациска компанија, напаѓачите го искористиле стекнатиот пристап за да се префрлат на Citrix Virtual Delivery Agent (VDA) сервери во Machine Creation Services (MCS) подмрежата на клиентот, додека користеле и SoftEther VPN за да ги сокријат своите вистински траги.

Едно од семејствата на малициозен софтвер доставени во рамките на нападот е Snappybee (познат и како Deed RAT), кој се смета за наследник на ShadowPad (или PoisonPlug) малициозниот софтвер, користен во претходни напади на Salt Typhoon. Овој малициозен софтвер се извршува преку техника наречена DLL side-loading, која со години ја користат бројни кинески хакерски групи.

Backdoor-от беше испорачан на внатрешните уреди како DLL заедно со легитимни извршни датотеки од антивирусни програми како Norton Antivirus, Bkav Antivirus и IObit Malware Fighter,“ соопшти Darktrace. „Овој шаблон на активност укажува дека напаѓачот се потпирал на DLL side-loading преку легитимни антивирусни програми за извршување на своите payload-и.“

Малициозниот софтвер е дизајниран да воспостави контакт со надворешен сервер (“aar.gandhibludtric[.]com”) преку HTTP и непознат TCP-базиран протокол. Darktrace изјави дека активноста на упадот била идентификувана и неутрализирана пред да може да се прошири понатаму.

Salt Typhoon продолжува да им претставува предизвик на бранителите со својата скриеност, упорност и злоупотреба на легитимни алатки,“ додаде компанијата. „Променливата природа на техниките на Salt Typhoon, како и нивната способност да ја пренаменуваат доверливата софтверска инфраструктура, гарантира дека ќе останат тешки за откривање со користење на традиционални методи.“

Извори:

  • The Hacker News – „Hackers Used Snappybee Malware and Citrix Flaw to Breach European Telecom Network“ .The Hacker News