Հարավարևելյան Ասիայում տեղակայված՝ կառավարական, ավիացիայի, կրթական և հեռահաղորդակցության ոլորտները հայտնվել են հաքերային նոր խմբի թիրախում: Կիբերարշավը սկսվել է դեռևս 2022 թվականի կեսերին և շարունակվել մինչև 2023 թվականի առաջին եռամսյակը:
«Symantec»-ը գործել է Lancefly մականունով, որի արդյունքում հաքերները կիրառել են Merdoor կոչվող հզոր backdoor-ը:
Մինչ այժմ հավաքագրված ապացույցները վկայում են, որ custom implant-ն օգտագործվել է դեռևս 2018 թվականից: Արշավի վերջնանպատակը գնահատվում է որպես հետախուզական տվյալների հավաքագրում:
Հարձակման արդյունքում տեղակայվում են՝ ZXShell-ն ու Merdoor-ը, որոնք հագեցած malware-ներ են և կարող ենք կոնտակի դուրս գալ սերվերի հետ:
ZXShell-ը, որն առաջին անգամ փաստաթղթավորվել է Cisco-ի կողմից 2014 թվականին, արմատական փաթեթ է, որն ունի տարբեր առանձնահատկություններ՝ վնասված համակարգերից գաղտնի տվյալներ հավաքելու համար: ZXShell-ի օգտագործումը նախկինում կիրառվել է չինացի հաքերների կողմից, ինչպիսիք են՝ APT17 (Aurora Panda)-ը և APT27 (aka Budworm կամ Emissary Panda)-ը:
Lancefly-ի հարձակումները որակվել են նաև որպես PlugX և ShadowPad, որոնցից վերջինը մոդուլային malware պլատֆորմ է:
Ներկա պահին հայտնի է, որ վկայականների և գործիքների փոխանակումը տարածված է չինացի հաքերների խմբերում, ինչը դժվարացնում է հարձակման բացահայտման ընթացքը:
Աղբյուրը՝ https://thehackernews.com/
