Аналитики The DFIR Report раскрыли методы и инструменты киберпреступников You Dun

Группа киберпреступников You Dun, говорящая на китайском языке, оказалась замешана в масштабных атаках на цифровую инфраструктуру ряда стран Азии и Ближнего Востока.

Аналитики исследовательского центра The DFIR Report обнаружили открытый каталог, который предоставил доступ к инструментам и архивам хакеров, раскрыв их методы и инфраструктуру.

You Dun активно проводили разведку и эксплуатацию уязвимостей с помощью утилит WebLogicScan, Vulmap и Xray. Среди их целей — сервера в Южной Корее, Китае, Таиланде, Тайване и Иране. Аналитики установили, что группа успешно использовала SQL-инъекции и другие уязвимости, в частности через программное обеспечение Zhiyuan OA.

Также в их инструментарий входил Viper C2 — система управления атакой, и Cobalt Strike с расширениями TaoWu и Ladon. Последние модули значительно расширяют возможности кибератак, автоматизируя проникновение в сети и выполнение вредоносных команд.

Хакеры задействовали слитый конструктор LockBit 3 для создания собственного исполняемого файла с вымогательским ПО. В записке, оставленной на заражённых серверах, содержались контактные данные их Telegram-группы под управлением администратора с ником EVA. Группа также известна под псевдонимом «Dark Cloud Shield Technical Team» и, помимо кибератак, предлагает DDoS-услуги и продажу данных.

Информация о работе этой группы собиралась с января по февраль 2024 года. За это время было зафиксировано использование прокси-серверов для управления атаками и скрытия реальных IP-адресов. Сетевые лог-файлы показали, что команда управляла своими атаками через несколько связанных IP-адресов и использовала различные сервисы для маскировки деятельности.

Помимо традиционного взлома, You Dun активно продвигают свои услуги как легальные «пентесты» через каналы в Telegram. Однако фактический анализ их действий и оставленные за собой следы указывают на нелегальную продажу данных, вымогательство и компрометацию сетей.

Основной вектор атак включал эксплуатацию уязвимостей WordPress и Docker-контейнеров. Группа активно использовала инструменты для повышения привилегий и развёртывания вредоносных нагрузок на скомпрометированных системах, что позволяло им глубже проникать в инфраструктуры жертв.

Эксперты The DFIR Report также подтвердили, что группировка нацеливалась на организации из разных сфер: от здравоохранения и образования до правительственных учреждений. Однако приоритет по отраслям не прослеживался — главной целью для хакеров было получить доступ к наиболее уязвимым ресурсам.

Таким образом, You Dun продемонстрировали профессионализм в кибератаках, сочетая передовые инструменты и социальную инженерию. Деятельность этой группы остаётся под наблюдением специалистов, так как их атаки продолжают угрожать безопасности многих организаций в регионе и за его пределами.