07/04/20
Киберпреступная группировка DarkHotel в марте нынешнего года организовала масштабную вредоносную кампанию, нацеленную на китайские правительственные учреждения и их сотрудников.
По словам специалистов из Qihoo 360, обнаруживших атаки, преступники эксплуатировали уязвимость нулевого дня в серверах Sangfor SSL VPN для получения удаленного доступа к корпоративным и государственным сетям.
Эксперты выявили более 200 VPN-серверов, взломанных в ходе данной кампании. 174 из этих серверов были расположены в сетях правительственных учреждений в Пекине и Шанхае, а также в сетях китайских дипломатических представительств, действующих за рубежом, в таких странах, как Италия, Великобритания, Пакистан, Киргизия, Индонезия, Таиланд, ОАЭ, Армения, Северная Корея, Израиль, Вьетнам, Турция, Малайзия, Иран, Эфиопия, Таджикистан, Афганистан, Саудовская Аравия и Индия.
Использовав уязвимость в целевых устройствах, преступники заменили файл SangforUD.exe на версию с ловушкой. Данный файл представляет собой обновление для настольного приложения Sangfor VPN, которое сотрудники устанавливают на свои компьютеры для подключения к серверам Sangfor VPN. Когда работники подключались к взломанным серверам Sangfor VPN, им предоставлялось автоматическое обновление для их настольного клиента, содержащее вредоносный файл, который позже устанавливал на устройствах бэкдор.
Sangfor подтвердила факт компрометации устройств с помощью уязвимости нулевого дня и выпустила необходимое исправление. Компания также планирует выпустить скрипт для обнаружения взлома VPN-серверов преступниками и инструмент для удаления файлов, развернутых DarkHotel.
