06/04/21
Китайская кибершпионская группировка Cycldek продемонстрировала усовершенствованные техники атаки в недавней вредоносной кампании против правительственных и военных организаций Вьетнама.
Активная как минимум с 2013 года группировка Cycldek (другие названия Goblin Panda и Conimes) известна своими кибератаками на правительства стран Юго-Восточной Азии, в особенности Вьетнама. В июне прошлого года она была замечена в использовании специально созданного вредоносного ПО для похищения данных с физически изолированных компьютеров. В недавней волне атак Cycldek продемонстрировала еще большее совершенствование своих навыков, сообщается в новом отчете «Лаборатории Касперского».
Проводимая с июня 2020-го по январь 2021 года вредоносная кампания полагалась на цепочку заражения с использованием загрузки DLL по сторонним каналам для доставки на систему вредоносного кода, который в итоге развертывал троян для удаленного доступа (RAT), предоставлявший хакерам полный контроль над компьютером.
В ходе атак на вьетнамские организации злоумышленники использовали легитимный компонент Microsoft Outlook для загрузки DLL, загружавшей shell-код, играющий роль загрузчика трояна FoundCore RAT. После развертывания вредонос запускал четыре процесса: один – для получения персистентности на системе в роли сервиса, второй – для сокрытия первого процесса, третий – для предотвращения доступа к вредоносному файлу и четвертый – для установки связи с C&C-сервером.
FoundCore RAT предоставляет злоумышленникам полный контроль над атакуемой системой. Вредонос поддерживает множество разнообразных команд, позволяя манипулировать файловой системой и процессами, выполнять произвольные команды, делать скриншоты и пр. Кроме того, в ходе атак хакеры использовали вредоносное ПОDropPhone и CoreLoader.
