НАЗАД К НОВОСТЯМ
Срочные новости

Китайская APT-группа эксплуатирует SaaS API в глобальной шпионской кампании против телекомов и госорганов

3 мин чтенияИсточник: BleepingComputer

Google и Mandiant пресекли кибершпионскую кампанию китайской APT-группы UNC5537, нацеленную на телекоммуникации и госструктуры через злоупотребление SaaS API. Узнайте о методах атаки и мерах защиты.

Китайская APT-группа, спонсируемая государством, эксплуатирует SaaS API в глобальной шпионской кампании

Группа по исследованию угроз Google (GTIG) и компания Mandiant в сотрудничестве с отраслевыми партнёрами пресекли сложную кибершпионскую кампанию, приписываемую предполагаемой китайской группе продвинутых постоянных угроз (APT). Операция, нацеленная на провайдеров телекоммуникационных услуг и государственные учреждения по всему миру, использовала злоупотребление API SaaS для маскировки вредоносного трафика под легитимную сетевую активность.

Основные выводы и технические детали

Киберпреступники, отслеживаемые Mandiant как UNC5537, эксплуатировали интерфейсы программирования приложений (API) программного обеспечения как услуги (SaaS), чтобы скрыть вредоносные коммуникации среди обычного трафика. Эта техника позволила злоумышленникам избежать обнаружения при эксфильтрации конфиденциальных данных из скомпрометированных сетей.

  • Цели: Десятки телекоммуникационных компаний и государственных организаций в различных регионах.
  • Тактики, техники и процедуры (TTPs):
    • Злоупотребление SaaS API: Киберпреступники использовали легитимные API SaaS-платформ для маскировки коммуникаций с командными серверами (C2).
    • Механизмы поддержания доступа: Злоумышленники сохраняли доступ к сетям жертв через скомпрометированные учётные данные и бэкдоры.
    • Эксфильтрация данных: Вероятно, была похищена конфиденциальная информация, включая записи звонков и внутренние коммуникации.

Хотя Google и Mandiant не раскрыли конкретные идентификаторы CVE, связанные с атаками, эта операция подчёркивает растущую тенденцию угроз, связанных с API, в кибершпионаже. SaaS-платформы, которым часто доверяют организации, представляют собой привлекательный вектор для злоумышленников, стремящихся обойти традиционные меры безопасности.

Анализ последствий

Фокус кампании на провайдеров телекоммуникационных услуг и государственные учреждения указывает на стратегический интерес к сбору разведданных и наблюдению. Компрометация телекоммуникационных сетей может позволить злоумышленникам:

  • Контролировать коммуникации высокопоставленных целей.
  • Нарушать работу критически важной инфраструктуры в случае геополитической эскалации.
  • Похищать проприетарную или секретную информацию для получения конкурентного или стратегического преимущества.

Использование злоупотребления SaaS API демонстрирует сдвиг в тактиках APT-групп, поскольку традиционные методы обнаружения (например, сигнатурный мониторинг) могут не выявлять вредоносный трафик, замаскированный под легитимные API-запросы.

Рекомендации для служб безопасности

Организациям, особенно в телекоммуникационном и государственном секторах, следует предпринять следующие шаги для снижения рисков подобных угроз:

  1. Усиление безопасности API

    • Внедрить ограничение частоты запросов, аутентификацию и обнаружение аномалий для использования SaaS API.
    • Мониторить необычные шаблоны API-запросов, которые могут указывать на эксфильтрацию данных.

  2. Улучшение гигиены учётных данных

    • Применять многофакторную аутентификацию (MFA) для всех привилегированных учётных записей.
    • Регулярно проводить аудит учётных данных для выявления скомпрометированных аккаунтов.

  3. Совершенствование мониторинга сети

    • Развёртывать аналитику поведения для обнаружения необычных потоков трафика, даже в зашифрованных SaaS-каналах.
    • Сегментировать критически важные сети для ограничения латерального перемещения злоумышленников.

  4. Интеграция разведки угроз

    • Использовать фиды угроз от Mandiant и Google Threat Intelligence для отслеживания новых TTPs.
    • Делиться индикаторами компрометации (IOCs) с отраслевыми партнёрами для улучшения коллективной защиты.

Заключение

Пресечение этой кампании демонстрирует эволюцию государственных кибершпионских операций, особенно эксплуатацию доверенных SaaS-платформ в злонамеренных целях. Поскольку злоумышленники совершенствуют свои методы, организациям необходимо внедрять проактивные меры безопасности API и передовые системы обнаружения угроз для противодействия этим сложным атакам.

Для получения дополнительной информации обратитесь к оригинальному отчёту BleepingComputer.

Поделиться

TwitterLinkedIn