Kiberxavfsizlik mutaxassislari Xitoy bilan bog‘liq yangi kiberjosuslik kampaniyasini aniqladi. Ushbu kampaniya Janubiy, Sharqiy va Janubi-Sharqiy Osiyo davlatlari hukumatlari hamda NATO tarkibidagi Yevropa davlatlaridan birini nishonga olgan. Tadqiqotga ko‘ra, ushbu faoliyat SHADOW-EARTH-053 nomi bilan kuzatilmoqda va kamida 2024-yil dekabr oyidan beri faol.
Trend Micro mutaxassislari ushbu guruh boshqa faoliyat klasterlari — CL-STA-0049, Earth Alux va REF7707 bilan tarmoq darajasida o‘xshashliklarga ega ekanini aniqlagan.
"Hujumchilar internetga ochiq Microsoft Exchange va IIS serverlaridagi zaifliklardan foydalanib, tizimlarga kirib boradi."
Ular, jumladan, mashhur ProxyLogon zanjiri kabi N-day zaifliklardan foydalanib, web shell (masalan, Godzilla) joylashtiradi. Bu esa ularga tizimga doimiy masofaviy kirish imkonini beradi.
Nishonlar qatoriga Pokiston, Tailand, Malayziya, Hindiston, Myanma, Shri-Lanka va Tayvan kiradi. Yevropadan esa Polsha ushbu kampaniya qurbonlari orasida aniqlangan.
Hujum odatda patch qilinmagan tizimlarni buzishdan boshlanadi. Keyinchalik web shell orqali buyruqlar bajariladi, tizim o‘rganiladi va oxir-oqibat ShadowPad backdoor o‘rnatiladi. Bu jarayon ko‘pincha DLL side-loading orqali amalga oshiriladi.
Ba’zi holatlarda React2Shell (CVE-2025-55182) zaifligidan foydalanilib, Linux tizimlari uchun mo‘ljallangan Noodle RAT malware tarqatilgani ham aniqlangan.
Hujumchilar yashirinlikni oshirish uchun IOX, GOST va Wstunnel kabi tunneling vositalaridan foydalanadi. Shuningdek, zararli fayllarni yashirish uchun RingQ packer’dan foydalaniladi.
"Privilege escalation uchun Mimikatz ishlatiladi, lateral movement esa RDP launcher va Sharp-SMBExec orqali amalga oshiriladi."
Mutaxassislar asosiy kirish nuqtasi sifatida IIS serverlaridagi zaifliklarni ko‘rsatmoqda. Shu sababli tashkilotlarga barcha yangilanishlarni tezda o‘rnatish tavsiya qilinmoqda.
Agar darhol patch qilish imkoni bo‘lmasa, IPS yoki WAF orqali virtual himoya qo‘llash zarur.
GLITTER CARP va SEQUIN CARP jurnalistlarga qarshi
Ushbu ma’lumotlar fonida Citizen Lab yana ikki Xitoy bilan bog‘liq hacker guruhini aniqladi — GLITTER CARP va SEQUIN CARP. Ular jurnalistlar va aktivistlarni nishonga olgan phishing kampaniyalarini olib bormoqda.
Bu hujumlar Uyg‘ur, Tibet, Tayvan va Gonkong diasporasi faollari, shuningdek xalqaro jurnalistlarga qarshi yo‘naltirilgan.
"Phishing email’larda real shaxslar yoki texnologik kompaniyalar nomidan foydalanilib, juda ishonarli soxta xabarlar yuboriladi."
GLITTER CARP keng ko‘lamli phishing kampaniyalari bilan tanilgan bo‘lsa, SEQUIN CARP ko‘proq aniq jurnalistlarni nishonga oladi. Ushbu hujumlar orqali attackerlar email akkauntlarga kirish, credential’larni o‘g‘irlash yoki OAuth tokenlar orqali tizimga kirishni maqsad qiladi.
Ba’zi phishing xabarlarda hatto 1x1 pixel tracking texnologiyasi qo‘llanilib, email ochilgan-ochilmagani ham aniqlanadi.
"Ushbu kampaniyalar davlat darajasidagi razvedka manfaatlariga mos keladigan nishonlarni qamrab oladi."
Mutaxassislarning fikricha, bu faoliyat ortida Xitoy hukumati bilan bog‘liq bo‘lgan pudratchi kompaniyalar turishi mumkin.
