Добавить новость
Добавить компанию
Добавить мероприятие
Китайские хакеры использовали новый бэкдор для слежки за правительством одной из стран Юго-Восточной Азии
07.06.2021 14:18
версия для печати
Команда исследователей Check Point Research, подразделения Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ведущего поставщика решений в области кибербезопасности по всему миру, обнаружила и заблокировала операцию по наблюдению за правительством одной из стран Юго-Восточной Азии. Злоумышленники (CPR считает, что это китайская кибергруппировка) систематически рассылали вредоносные документы. Они выдавали себя за представителей правительства (или других ведомств) отправляя письма сотрудникам МИДа. CPR подозревает, что цель операции – шпионаж через установку ранее неизвестного бэкдора в ПО Windows. После установки бэкдора злоумышленники смогли бы собирать практически любую информацию, которую они хотят, а также делать снимки экрана и запускать дополнительные вредоносные программы на устройстве жертвы. Расследование CPR показало, что злоумышленники тестировали и совершенствовали бэкдор-инструмент Windows как минимум последние три года. Цепочка заражения В общих чертах, в цепочке заражения можно выделить следующие этапы: 1. Жертва получает электронное письмо с прикрепленным документом, якобы отправленное другим министерством или комиссией. 2. Открывая документ, жертва запускает некую последовательность, цепочку действий, которые в итоге открывают бэкдор. 3. Бэкдор собирает любую информацию, которую хотят злоумышленники: список файлов и активных программ на ПК, а еще обеспечивает киберпреступникам удаленный доступ к зараженному устройству. Ранее неизвестный бэкдор В течение трех лет злоумышленники разрабатывали новый бэкдор — вредоносное ПО, которое отменяет обычные процедуры аутентификации для доступа к системе. Модуль бэкдора с внутренним именем «VictoryDll_x86.dll» содержит настраиваемое вредоносное ПО со следующими возможностями:
Атрибуция Со средней или высокой степенью достоверности CPR связывает эту операцию с китайской группировкой, основываясь на следующих артефактах и индикаторах: • Командно-контрольные серверы (C&C) поддерживали связь только с 01:00 до 08:00 UTC. По мнению исследователей, это указывает на рабочее время в конкретной стране/регионе злоумышленников – поэтому территориальный диапазон возможных источников этой атаки ограничен. • Серверы C&C не возвращали никакой полезной нагрузки (даже в рабочее время) в период с 1 по 5 мая – в это время в Китае праздник – День Труда. • Некоторые тестовые версии бэкдора имели записи о проверке подключения к сети с www.baidu.com - известным китайским сайтом. • Набор эксплойтов RoyalRoad RTF, используемый во вредоносных документах для атаки, в основном связан с китайскими APT-группировками. • Некоторые тестовые версии бэкдора 2018 года были загружены на VirusTotal из Китая. Как избегали обнаружения • Во-первых, командно-контрольный сервер работал примерно в те же часы, когда в Китае рабочее время, а инфраструктура менялась несколько раз на протяжении всей кампании. • Во-вторых, вредоносная программа-бэкдор разрабатывалась с 2017 года, но позднее ее разбили на несколько этапов, чтобы затруднить анализ и обнаружение. «Все свидетельства указывают на то, что мы имеем дело с высокоорганизованной группировкой, которая приложила значительные усилия, чтобы оставаться незамеченной, — рассказывает Лотем Финкельстин, руководитель отдела анализа угроз компании Check Point Software. — Каждые несколько недель злоумышленники рассылали фишинговые письма с вредоносными вложениями якобы правительственных документов, чтобы попытаться попасть в сеть МИДа нужной страны. Это означает, что злоумышленники сначала должны были атаковать другой департамент этого же государства, похищая документы (и добавляя к ним вредоносную нагрузку) для дальнейшего использования. Киберпреступники (мы считаем, что это китайская группировка), действовали очень систематично. В итоге наше расследование привело к обнаружению нового бэкдора Windows, оружия для кибершпионажа, которое китайские хакеры разрабатывали с 2017 года. Бэкдор совершенствовали в течение трех лет, прежде чем использовали в реальной жизни. Он очень въедлив и способен собирать огромное количество данных с зараженного компьютера. Мы узнали, что злоумышленников интересуют не только данные, но и то, что происходит на ПК жертвы в любой момент – это шпионаж в реальном времени. Мы смогли заблокировать эту конкретную операцию, но вполне возможно, что эта группировка использует новое оружие для других целей по всему миру». Редактор раздела: Александр Авдеенко (info@mskit.ru) Рубрики: Безопасность
наверх
Для того, чтобы вставить ссылку на материал к себе на сайт надо:
|
|||||
А знаете ли Вы что?
MSKIT.RU: последние новости Москвы и Центра13.11.2024 Т2 запустил первый тариф после ребрендингаз> 31.10.2024 «Осенний документооборот – 2024»: взгляд в будущее системы электронного документооборотаз>
|
||||