07/06/21
ИБ-специалисты из компании Check Point Research выявили текущую кампанию по кибершпионажу, предположительно связанную с Китаем. Хакеры атакуют правительственные организации в Юго-Восточной Азии с целью распространения шпионского ПО на системах Windows. По словам экспертов, преступники оставались незамеченными более трех лет.
Атаки начинаются с рассылки поддельных документов от имени правительственных организаций сотрудникам Министерства иностранных дел. После открытия документ запускает полезную нагрузку C&C-сервера. Загрузчик похищает и передает системную информацию на удаленный сервер, который впоследствии отправляет загрузчик shell-кода.
Загрузчик устанавливает соединение с удаленным сервером для загрузки, расшифровки и выполнения имплантата VictoryDll_x86.dll, способного выполнять файловые операции, осуществлять снимки экрана, создавать и завершать процессы и даже завершать работу зараженной системы.
По словам специалистов, злоумышленники приложили значительные усилия для сокрытия своей деятельности, изменяя инфраструктуру несколько раз с момента ее разработки в 2017 году. Бэкдор, в свою очередь, получил ряд исправлений, призванных сделать его более устойчивым к анализу и снизить уровень обнаружения на каждом этапе.
Специалисты полагают, что вредоносная кампания может быть связана с китайской киберпреступной группировкой SharpPanda. Вывод основан на тестовых версиях бэкдора от 2018 года, которые были загружены на VirusTotal из Китая, а также использование инструмента для создания RTF-эксплоитов Royal Road.
Кроме того, C&C-сервер возвращали полезные данные только в период времени между 01:00 и 08:00 UTC, что, предположительно, является рабочим временем в стране злоумышленников. Также с 1 по 5 мая C&C-серверы не проявляли вредоносной активности даже в рабочее время, что совпадает с праздником Дня труда в Китае.
