2024-10-30T15:00:00+03:00
קבוצת פושעי הסייבר בשפה הסינית You Dun הייתה מעורבת במתקפות רחבות היקף על התשתית הדיגיטלית של מספר מדינות באסיה ובמזרח התיכון. אנליסטים במרכז המחקר The DFIR Report התגלה ספרייה פתוחה שסיפקה גישה לכלים ולארכיונים של האקרים, וחשפה את השיטות והתשתית שלהם.
You Dun ביצע באופן פעיל איתור וניצול פגיעות באמצעות כלי השירות WebLogicScan, Vulmap ו-Xray. היעדים שלהם כוללים שרתים בדרום קוריאה, סין, תאילנד, טייוואן ואיראן. אנליסטים גילו שהקבוצה ניצלה בהצלחה את הזרקת SQL ופגיעויות אחרות, במיוחד באמצעות תוכנת Zhiyuan OA.
ערכת הכלים שלהם כללה גם את Viper C2, מערכת בקרת התקפה, ו-Cobalt Strike עם הרחבות TaoWu ו-Ladon. המודולים האחרונים מרחיבים באופן משמעותי את היכולות של התקפות סייבר על ידי אוטומציה של חדירת רשת וביצוע פקודות זדוניות.
האקרים השתמשו בבנאי LockBit 3 שדלף כדי ליצור קובץ הפעלה משלהם עם תוכנת כופר. ההערה שהושארה בשרתים הנגועים הכילה פרטי קשר עבור קבוצת הטלגרם שלהם המנוהלת על ידי מנהל עם הכינוי EVA. הקבוצה ידועה גם תחת השם הבדוי "Dark Cloud Shield Technical Team" ובנוסף להתקפות סייבר, מציעה שירותי DDoS ומכירות נתונים.
מידע על עבודתה של קבוצה זו נאסף מינואר עד פברואר 2024. במהלך תקופה זו, תועד השימוש בשרתי פרוקסי כדי לשלוט בהתקפות ולהסתיר כתובות IP אמיתיות. קובצי יומן רשת הראו שהצוות הפעיל את התקפותיו באמצעות מספר כתובות IP מקושרות והשתמש בשירותים שונים כדי להסוות את פעילותו.
בנוסף לפריצה המסורתית, You Dun מקדמת באופן פעיל את השירותים שלהם כ"חוזרים" חוקיים דרך ערוצי טלגרם. עם זאת, ניתוח ממשי של מעשיהם והעקבות שהם משאירים אחריהם מצביעים על מכירת נתונים לא חוקיים, סחיטה ופגיעה של רשתות.
וקטור ההתקפה העיקרי כלל ניצול פגיעויות בקונטיינרים של WordPress ו-Docker. הקבוצה השתמשה באופן פעיל בכלים כדי להסלים הרשאות ולפרוס מטענים זדוניים על מערכות שנפגעו, מה שאפשר להן לחדור עמוק יותר לתוך תשתיות הקורבנות.
מומחים מ-The DFIR Report אישרו גם כי הקבוצה מכוונת לארגונים בתחומים שונים: משירותי בריאות וחינוך ועד לסוכנויות ממשלתיות. עם זאת, לא בוצע מעקב אחר עדיפות לפי התעשייה – המטרה העיקרית של האקרים הייתה להשיג גישה למשאבים הפגיעים ביותר.
לפיכך, You Dun הוכיחה בקיאות במתקפות סייבר על ידי שילוב של כלים מתקדמים והנדסה חברתית. פעילותה של קבוצה זו נותרת בפיקוח מומחים, שכן התקפותיהם ממשיכות לאיים על ביטחונם של ארגונים רבים באזור ומחוצה לו.
המדענים הוכיחו שקריאת הערוץ שלנו מאריכה חיים!
בסדר, הם לא הוכיחו עדיין אבל אנחנו עובדים על זה, קחו חלק בניסוי – הירשמו ,והישארו תמיד מעודכנים!
[mc4wp_form id=1302]
