Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Индийская APT-группа Confucius использует новую тактику для атак в азиатских странах

02/10/24

hack193-Oct-02-2024-10-00-55-6948-AM

Хакерская APT-группа Confucius, связанная с Индией, известна своими кибератаками на критическую инфраструктуру Китая, Пакистана и других стран Южной Азии. Объединение активно с 2013 года и имеет множественные пересечения с группой Patchwork в плане использования вредоносного ПО и инфраструктуры, пишет Securitylab. Нацелены хакеры из Confucius на самые разные сектора, включая правительственные учреждения, оборонные компании и даже ядерную промышленность.

Методы атаки Confucius APT разнообразны: рассылка писем с фишинговыми сайтами, вложениями с троянами, а также использование как собственных вредоносных программ, так и различных решений с открытым исходным кодом. Часто зловредные файлы скрываются в архивах формата «.rar» или «.zip», чтобы затруднить их обнаружение.

Недавно китайские эксперты выявили свежий образец атаки этой группы. Он представляет собой архив с рядом вредоносных файлов. Внутри обнаружены скрипты PowerShell, которые запускают загрузку вредоносных модулей на целевой системе. Скрипт создаёт фальшивый PDF-документ и открывает его, отвлекая пользователя от происходящих действий. Далее осуществляется загрузка модулей .NET, содержащих вредоносные функции.

Для усложнения анализа злоумышленники используют тактику смешения вредоносного и легитимного кода, а также наполняют программы бесполезным мусорным содержимым. После установки зловредное ПО подключается к удалённым серверам и загружает дополнительные компоненты для выполнения атакующих функций.

Вслед за успешным заражением вредоносный модуль осуществляет сбор информации о системе: находит порядковые номера дисков, имена компьютеров и пользователей. Далее троян загружает списки MD5-хешей и просматривает файловую систему в поисках документов с определенными расширениями. Полученные файлы передаются на удалённый сервер, избегая повторной загрузки уже переданных данных.

Анализ свежевыявленного образца подтвердил сходство с предыдущими атаками Confucius. Более того, доменные серверы, к которым обращается вредоносное ПО, уже помечены как связанные с этой группой.

Темы:ПреступленияИндияAPT-группыPowershellАзия
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...