Nulladik napi hibák, kifinomult eszköztár
Legutóbb a CVE-2025-53690 kódú, ViewState-deszerializáció néven ismert nulladik napi sérülékenységet használták ki egy támadássorozatban, amely során egy WeepSteel nevű kémprogramot telepítettek az áldozatok rendszereire. A Cisco Talos kutatói közepes szintű bizonyossággal állítják, hogy módszereik, technikáik és eszköztáruk hasonlít más ismert, kínai hátterű támadókéhoz.
Helyi Windows parancsok és trükkös kémkedés
A hálózati behatolás után a támadók Windows-parancsokat futtatnak a gépeken és a hálózaton, például letiltják az RDP RestrictedAdmin-funkciót, hogy könnyebben szerezzenek jogosultságokat. Gyakori eszközeik között van a GoTokenTheft, a Rubeus és a Certipy, amelyekkel tanúsítványokat és jogosultságokat szereznek, valamint a SharpHound és az Impacket, amelyekkel Active Directory-felhasználókat, csoportokat és jogosultsági szinteket térképeznek fel.
Folyamatos eszközcserék, ellopott adatok
A hackerek sok nyílt forráskódú vagy az operációs rendszerbe beépített eszközt használnak, hogy elkerüljék az észlelést; például az Earthworm-mal és a DWAgenttel privát csatornákat hoznak létre, és távoli elérést biztosítanak maguknak. Legalább egyszer elloptak egy speciális DLL-fájlt is, amellyel a jövőben trójai támadást vagy ellátásilánc-támadást indíthatnak. A támadások célja elsősorban a hitelesítő adatok, az Active Directory-topológia és különféle biztonsági beállítások megszerzése.
