Аналитики исследовательского центра The DFIR Report обнаружили открытый каталог, который открыл доступ к инструментам и архивам хакеров, тем самым разоблачив их методы и инфраструктуру.
You Dun активно занимались разведкой и эксплуатацией уязвимостей с помощью утилит WebLogicScan, Vulmap и Xray. Среди их мишеней — серверы, расположенные в Южной Корее, Китае, Таиланде, Тайване и Иране. Аналитики выяснили, что группа успешно применяла SQL-инъекции и другие уязвимости, особенно через программное обеспечение Zhiyuan OA.
В их набор инструментов также входил Viper C2 — система управления кибератаками, а также Cobalt Strike с модулями TaoWu и Ladon. Эти последние модули значительно увеличивают возможности кибератак, позволяя автоматизировать процесс проникновения в сети и выполнение вредоносных команд.
Хакеры использовали утечку конструктора LockBit 3 для создания собственного исполняемого файла с программой-вымогателем. В записке, оставленной на заражённых серверах, содержались контактные данные их Telegram-группы, управляемой администратором с ником EVA. Эта группа также известна под псевдонимом «Dark Cloud Shield Technical Team» и, помимо кибератак, предлагает DDoS-услуги и продажу данных.
Собранная информация о деятельности этой группы была зафиксирована в период с января по февраль 2024 года. За это время было зафиксировано использование прокси-серверов для управления атаками и сокрытия реальных IP-адресов. Сетевые лог-файлы продемонстрировали, что команда управляла своими атаками через несколько связанных IP-адресов и использовала различные сервисы для маскировки своей активности.
Кроме того, You Dun активно рекламируют свои услуги как легальные «пентесты» через каналы в Telegram. Однако фактический анализ их действий и оставленные следы указывают на нелегальную продажу данных, вымогательство и компрометацию сетей.
Основной вектор атак сосредоточен на эксплуатации уязвимостей WordPress и Docker-контейнеров. Группа активно применяла инструменты для повышения привилегий и развёртывания вредоносных программ в скомпрометированных системах, что позволяло им углубляться в инфраструктуру жертв.
Эксперты The DFIR Report также подтвердили, что группировка нацеливалась на организации различных секторов: от здравоохранения и образования до государственных учреждений. Тем не менее, приоритет по отраслям не наблюдался — основной целью для хакеров было получить доступ к наиболее уязвимым ресурсам.
Таким образом, You Dun продемонстрировали высокий уровень профессионализма в кибератаках, сочетая современные инструменты с методами социальной инженерии. Деятельность этой группы остаётся под пристальным наблюдением специалистов, поскольку их атаки продолжают угрожать безопасности множества организаций как в регионе, так и за его пределами.
