Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Кинески APT групи хакираат азиски организации со напреден малициозен софтвер

Објавено: 30.01.2026

Групи за напредни перзистентни закани (APT) распоредија ново сајбер-оружје против различни цели, што укажува на растечките закани за регионот.

APT групи поврзани со Кина предизвикуваат сериозни нарушувања во Азија со нов напреден сајбер-арсенал, таргетирајќи кинески сајтови за онлајн коцкање и владини институции низ регионот.

Регионот Азија‑Пацифик (APAC) е меѓу најпогодените во светот кога станува збор за сајбер-напади, учествувајќи со нешто повеќе од половина од целата глобална APT активност, според едно истражување. Делумно, тоа се должи на фактот што таму живее најголемиот дел од светската популација (што значи интензивна дигитална активност), како и на тоа што земји како Јапонија, Кина и Јужна Кореја имаат силни економии и значајно геополитичко влијание. Дополнителни фактори се и државното финансирање од Северна Кореја, како и внатрешните конфликти во Јужна Азија.

Сепак, убедливо најголемата причина е Кина. Државно поддржаните кинески APT групи се меѓу најдобрите во светот, користејќи — а често и развивајќи — напреден малициозен софтвер, како и софистицирани тактики, техники и процедури (TTPs). Тие се исклучително активни и често тешко се лоцираат и припишуваат, бидејќи ги споделуваат ресурсите и знаењата во лабаво дефинирани кластери и мрежи. Овие мрежи понекогаш се прошируваат и надвор од државно поврзаните организации, вклучувајќи приватни институции, па дури и криминални групи.

На пример, компанијата Trend Micro од 2023 година следи два заканувачки актери кои користат иста „софистицирана“ алатка за command‑and‑control (C2), наречена PeckBirdy. Во првата кампања, финансиски мотивирана сајбер-криминална група го користела PeckBirdy за креирање watering hole напади на кинески веб-сајтови за коцкање. Во втората кампања, група фокусирана на шпионажа била значително поамбициозна — креативно го искористила PeckBirdy за испорака на малициозен софтвер и кражба на креденцијали од приватни организации и претежно од цели поврзани со владини институции низ Азија.

Нападите ја погодија кинеската индустрија за коцкање и азиските влади

Во 2023 година, повеќе кинески веб-сајтови за коцкање биле тајно заразени со PeckBirdy C2 framework. Секој пат кога нов корисник ќе го посетел сајтот, се активирал малициозен скрипт кој го вчитувал PeckBirdy во неговиот прелистувач. PeckBirdy потоа прикажувал лажна страница за ажурирање на Google Chrome, а доколку корисникот поверувал и го преземел лажното ажурирање, на неговиот систем се инсталирале напредни, модуларни backdoor‑и: „Holodonut“ и „MKDoor“.

Ист сервер што го хостирал овој малициозен софтвер, исто така содржел и дополнителни PeckBirdy скрипти: една за воспоставување reverse shell, и друга за експлоатација на ранливост во Google Chrome (CVE‑2020‑16040).

PeckBirdy може да се смета за еден од производите на растечките закани насочени кон веб-прелистувачите во Азија. Најголемиот дел од работните активности денес се одвиваат преку прелистувачи, што доведе до огромен пораст на напади во овој простор. На пример, во 2024 година, Akamai Technologies регистрирала 22 милијарди повеќе напади базирани на прелистувачи во APAC во споредба со 2023 година.

Голем број докази укажуваат дека оваа кампања била спроведена од кинеска APT група, но не е јасно точно која. Кинеските заканувачки актери се познати по споделување алатки, техники и инфраструктура. Trend Micro утврди дека оваа кампања — која моментално ја следи под името Shadow‑Void‑044 — користела C2 домен претходно поврзан со UNC3569. Дополнително, примерок од Cobalt Strike пронајден на еден од серверите бил потпишан со украден сертификат, исто така забележан во кампања на Bronze University. Истражувачите поврзале и еден од backdoor‑ите со малициозен софтвер развиен од група наречена „TheWizards“ (да не се меша со истоимената кошаркарска екипа).

Втора кампања со PeckBirdy

Втор, одделен заканувачки актер исто така го користи PeckBirdy најмалку од јули 2024 година. Со ниско ниво на сигурност, извештајот на Trend Micro ја поврзува групата означена како Shadow‑Earth‑045 со друга група што тие ја следат под името Earth Baxia.

Оваа кампања била поразновидна и во методите и во таргетите, опфаќајќи и приватни организации во Азија, и владини институции. Кинеските APT групи редовно спроведуваат сајбер-шпионажа против владини агенции во регионот APAC и пошироко.

Trend Micro за Dark Reading изјави:

„Овие две кампањи нè потсетуваат дека границата меѓу сајбер-криминалот и сајбер-шпионажата сè повеќе се брише. Користењето на една иста алатка за различни типови напади станува сè попопуларно.“

Компанијата додава дека заканувачките актери „веројатно се ефикасни и дискретни изведувачи кои користат заеднички алатки за секојдневните операции. Во споредба со претходни случаи, нивниот стил на работа донекаде наликува на APT41“, иако APT41 не е директно поврзана со ниту една од овие групи.

Менувачкиот (shapeshifting) PeckBirdy C2

Во еден случај, Shadow‑Earth‑045 ја користела Windows алатката Mshta за извршување на PeckBirdy и воспоставување далечински пристап до приватна организација. Во друг случај, групата креирала .NET извршна датотека и го активирала PeckBirdy преку застарената Windows компонента ScriptControl.

PeckBirdy може да работи и во NodeJS, Windows Script Host (WScript) или во класична Active Server Pages (ASP) околина.

„Малициозниот софтвер им овозможува на заканувачките актери да ги менуваат векторите на напад во зависност од околината на целта и нивните потреби (не сите одеднаш)“, истакнува Trend Micro.

Начинот на кој се распоредува PeckBirdy директно влијае и врз неговите можности. Во една околина може да биде ограничен од sandbox‑от на прелистувачот, додека во друга, како со Mshta, може директно да извршува активности на машината на жртвата.

Следната табела прикажува што сè им овозможува PeckBirdy на напаѓачите во секој од овие случаи.

Сето ова функционира затоа што PeckBirdy е напишан на стар, генерички скриптен јазик — JScript — што му овозможува да се прилагоди на различни околини користејќи различни living‑off‑the‑land бинарни алатки (LOLbins). При првото извршување, тој бара специфични индиции за да утврди во каква околина работи — „window“ во веб‑прелистувач, „process“ во NodeJS, и слично.

„Напаѓачите можат да ја користат истата алатка за да заразат обичен посетител на веб‑сајт за коцкање и државен службеник на неговото работно место“, наведува Trend Micro. „Тие трошат помалку време на пишување код и повеќе време на кражба на податоци, притоа останувајќи доволно тивки за да не бидат исфрлени од мрежата.“

Извори:

  • DarkReading – Chinese APTs Hacking Asian Orgs With High-End Malware DarkReading