Эксперты выявили китайскую шпионскую кампанию, нацеленную на Юго-Восточную Азию

Эксперты выявили китайскую шпионскую кампанию, нацеленную на Юго-Восточную Азию

Alexander Antipov

Атаки начинаются с рассылки поддельных документов от имени правительственных организаций сотрудникам Министерства иностранных дел.

image

ИБ-специалисты из компании Check Point Research выявили текущую кампанию по кибершпионажу, предположительно связанную с Китаем. Хакеры атакуют правительственные организации в Юго-Восточной Азии с целью распространения шпионского ПО на системах Windows. По словам экспертов, преступники оставались незамеченными более трех лет.

Атаки начинаются с рассылки поддельных документов от имени правительственных организаций сотрудникам Министерства иностранных дел. После открытия документ запускает полезную нагрузку C&C-сервера. Загрузчик похищает и передает системную информацию на удаленный сервер, который впоследствии отправляет загрузчик shell-кода.

Загрузчик устанавливает соединение с удаленным сервером для загрузки, расшифровки и выполнения имплантата VictoryDll_x86.dll, способного выполнять файловые операции, осуществлять снимки экрана, создавать и завершать процессы и даже завершать работу зараженной системы.

По словам специалистов, злоумышленники приложили значительные усилия для сокрытия своей деятельности, изменяя инфраструктуру несколько раз с момента ее разработки в 2017 году. Бэкдор, в свою очередь, получил ряд исправлений, призванных сделать его более устойчивым к анализу и снизить уровень обнаружения на каждом этапе.

Специалисты полагают, что вредоносная кампания может быть связана с китайской киберпреступной группировкой SharpPanda. Вывод основан на тестовых версиях бэкдора от 2018 года, которые были загружены на VirusTotal из Китая, а также использование инструмента для создания RTF-эксплоитов Royal Road.

Кроме того, C&C-сервер возвращали полезные данные только в период времени между 01:00 и 08:00 UTC, что, предположительно, является рабочим временем в стране злоумышленников. Также с 1 по 5 мая C&C-серверы не проявляли вредоносной активности даже в рабочее время, что совпадает с праздником Дня труда в Китае.


Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Youtube выпуске.


Источник: Securitylab