В последните месеци специалисти по киберсигурност идентифицираха нови методи и инструменти, използвани от китайската хакерска група UNC5221, известна с целенасочени атаки срещу корпоративни мрежи и облачни услуги. Групата прилага сложен набор от зловреден софтуер, включително Brickstorm, Plenet и AgentPSD, с цел да осигури дълготраен и непрекъснат достъп до компрометираните системи, особено в среди, базирани на Microsoft 365.
Какво се случи
UNC5221, свързвана с китайски кибершпионаж, е използвала нови и досега неописвани зловредни програми, за да проникне и задържи контрол върху мрежи на организации. Сред тях са Brickstorm – бекдор, който позволява тайно управление на заразените устройства, както и Plenet и AgentPSD – нови видове зловреден софтуер, които досега не са били документирани публично.
Тези инструменти са насочени към облачни платформи, като Microsoft 365, които са широко използвани в корпоративния сектор. Чрез тях групата успява да заобиколи стандартните защитни механизми и да поддържа постоянен достъп, което позволява дългосрочно събиране на информация и потенциално по-нататъшни атаки.
Защо това е важно
Откриването на нови зловредни програми и техники от страна на UNC5221 показва, че киберзаплахите стават все по-сложни и адаптивни. Това е особено тревожно за организациите, които разчитат на облачни услуги като Microsoft 365 за ежедневната си работа, тъй като компрометирането на тези платформи може да доведе до изтичане на чувствителна информация и сериозни бизнес щети.
Постоянният достъп, който групата осигурява чрез новите си инструменти, затруднява откриването и премахването на заплахата, което увеличава риска от продължителни и незабелязани атаки. Това подчертава необходимостта от по-усъвършенствани системи за мониторинг и защита, както и от повишена осведоменост сред IT специалистите.
По-широк контекст
Кибершпионажът и целенасочените атаки срещу корпоративни и държавни мрежи са част от глобалната тенденция на нарастваща кибервойна и информационна борба между държави. Китайските групи като UNC5221 са известни с това, че използват сложни и иновативни методи за проникване, които често остават незабелязани с месеци.
Облачните платформи, включително Microsoft 365, се превръщат в основна цел поради тяхната масова употреба и критична роля в бизнес процесите. Това налага на компаниите да инвестират в по-добри решения за киберсигурност и да прилагат многопластови стратегии за защита.
Какво може да последва
В бъдеще можем да очакваме засилване на усилията за откриване и неутрализиране на подобни заплахи, както от страна на технологичните компании, така и от независими експерти по киберсигурност. Microsoft и други доставчици вероятно ще продължат да разработват нови защитни механизми, които да ограничат възможностите за проникване и поддържане на достъп от зловредни групи.
От своя страна организациите трябва да засилят обучението на служителите си, да внедрят по-строги политики за сигурност и да използват инструменти за ранно откриване на аномалии в мрежовия трафик. Само чрез комплексен подход може да се намали рискът от успешни атаки и да се защити критичната инфраструктура.
