Расследование The DFIR Report: Методы и инструменты хакеров You Dun раскрыты

371     0
Расследование The DFIR Report: Методы и инструменты хакеров You Dun раскрыты
Расследование The DFIR Report: Методы и инструменты хакеров You Dun раскрыты

Группа киберпреступников You Dun, говорящая на китайском языке, оказалась замешана в масштабных атаках на цифровую инфраструктуру ряда стран Азии и Ближнего Востока.

Аналитики исследовательского центра The DFIR Report обнаружили открытый каталог, который предоставил доступ к инструментам и архивам хакеров, раскрыв их методы и инфраструктуру.

You Dun активно проводили разведку и эксплуатацию уязвимостей с помощью утилит WebLogicScan, Vulmap и Xray. Среди их целей — сервера в Южной Корее, Китае, Таиланде, Тайване и Иране. Аналитики установили, что группа успешно использовала SQL-инъекции и другие уязвимости, в частности через программное обеспечение Zhiyuan OA.

Также в их инструментарий входил Viper C2 — система управления атакой, и Cobalt Strike с расширениями TaoWu и Ladon. Последние модули значительно расширяют возможности кибератак, автоматизируя проникновение в сети и выполнение вредоносных команд.

Хакеры задействовали слитый конструктор LockBit 3 для создания собственного исполняемого файла с вымогательским ПО. В записке, оставленной на заражённых серверах, содержались контактные данные их Telegram-группы под управлением администратора с ником EVA. Группа также известна под псевдонимом «Dark Cloud Shield Technical Team» и, помимо кибератак, предлагает DDoS-услуги и продажу данных.

Информация о работе этой группы собиралась с января по февраль 2024 года. За это время было зафиксировано использование прокси-серверов для управления атаками и скрытия реальных IP-адресов. Сетевые лог-файлы показали, что команда управляла своими атаками через несколько связанных IP-адресов и использовала различные сервисы для маскировки деятельности.

Помимо традиционного взлома, You Dun активно продвигают свои услуги как легальные «пентесты» через каналы в Telegram. Однако фактический анализ их действий и оставленные за собой следы указывают на нелегальную продажу данных, вымогательство и компрометацию сетей.

Основной вектор атак включал эксплуатацию уязвимостей WordPress и Docker-контейнеров. Группа активно использовала инструменты для повышения привилегий и развёртывания вредоносных нагрузок на скомпрометированных системах, что позволяло им глубже проникать в инфраструктуры жертв.

Эксперты The DFIR Report также подтвердили, что группировка нацеливалась на организации из разных сфер: от здравоохранения и образования до правительственных учреждений. Однако приоритет по отраслям не прослеживался — главной целью для хакеров было получить доступ к наиболее уязвимым ресурсам.

Таким образом, You Dun продемонстрировали профессионализм в кибератаках, сочетая передовые инструменты и социальную инженерию. Деятельность этой группы остаётся под наблюдением специалистов, так как их атаки продолжают угрожать безопасности многих организаций в регионе и за его пределами.

 
Теги: Вымогательство,кибератаки,DDoS-атаки,Кибербезопасность,The DFIR Report,Группа You Dun,
Регионы: Ближний Восток,Китай,Азия,

Читайте по теме:

Технологии под угрозой: в Японии осудили за создание вируса с помощью генеративного ИИ
Нидерланды готовятся к киберугрозам: новый отчет о состоянии безопасности
Конфиденциальные данные H&R Block стали оружием мошенников
Чжан Имин возглавил рейтинг самых богатых людей Китая
Война великих держав: как США отрабатывают стратегии против Китая
Шанхай ограничивает Хэллоуин: полиция вмешивается из-за прошлогодних политических костюмов
Тайвань хочет купить у США 1 тысячу ударных дронов для защиты от Китая, - СМИ
Орбан в Тбилиси: "Победа "Грузинской мечты" защитила страну от конфликта"
Срок службы вдвое короче: таксисты недовольны надежностью китайских автомобилей
Угроза безопасности: Хакеры пытались получить доступ к телефонам Трампа и Харрис