Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Эксперты выявили шпионскую кампанию, нацеленную на Юго-Восточную Азию

07/06/21

hack84-Jun-07-2021-08-37-46-68-AMИБ-специалисты из компании Check Point Research выявили текущую кампанию по кибершпионажу, предположительно связанную с Китаем. Хакеры атакуют правительственные организации в Юго-Восточной Азии с целью распространения шпионского ПО на системах Windows. По словам экспертов, преступники оставались незамеченными более трех лет.

Атаки начинаются с рассылки поддельных документов от имени правительственных организаций сотрудникам Министерства иностранных дел. После открытия документ запускает полезную нагрузку C&C-сервера. Загрузчик похищает и передает системную информацию на удаленный сервер, который впоследствии отправляет загрузчик shell-кода.

Загрузчик устанавливает соединение с удаленным сервером для загрузки, расшифровки и выполнения имплантата VictoryDll_x86.dll, способного выполнять файловые операции, осуществлять снимки экрана, создавать и завершать процессы и даже завершать работу зараженной системы.

По словам специалистов, злоумышленники приложили значительные усилия для сокрытия своей деятельности, изменяя инфраструктуру несколько раз с момента ее разработки в 2017 году. Бэкдор, в свою очередь, получил ряд исправлений, призванных сделать его более устойчивым к анализу и снизить уровень обнаружения на каждом этапе.

Специалисты полагают, что вредоносная кампания может быть связана с китайской киберпреступной группировкой SharpPanda. Вывод основан на тестовых версиях бэкдора от 2018 года, которые были загружены на VirusTotal из Китая, а также использование инструмента для создания RTF-эксплоитов Royal Road.

Кроме того, C&C-сервер возвращали полезные данные только в период времени между 01:00 и 08:00 UTC, что, предположительно, является рабочим временем в стране злоумышленников. Также с 1 по 5 мая C&C-серверы не проявляли вредоносной активности даже в рабочее время, что совпадает с праздником Дня труда в Китае.

Темы:WindowsПреступленияCheck Pointгосударственные хакерыКиберугрозы
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...