01/03/19
/sinohack-3.jpg?width=300&name=sinohack-3.jpg)
Кибершпионская группировка, предположительно работающая на Китай, использует в атаках модифицированные версии широкодоступных инструментов. Исходный код некоторых из них датируется еще 2007 годом.
Группировка APT27, также известная как Bronze Union, Emissary Panda, Threat Group 3390, Lucky Mouse, ZipToken, и Iron Tiger, активна как минимум с 2013 года, а в круг ее интересов входят политические, технологические, гуманитарные и производственные организации.
По данным исследователей из SecureWorks Counter Threat Unit, в 2017-2018 годах Bronze Union могла похвастаться богатым арсеналом всевозможных инструментов. Хотя некоторым троянам уже более десяти лет, кибершпионы сумели модернизировать их и приспособить под свои нужды.
Одним из таких инструментов является троян для удаленного доступа (RAT) ZxShell, исходный код которого был опубликован в 2007 году кем-то под псевдонимом LZX. Хотя различными вариантами трояна пользовались многие киберпреступные группировки, версия, используемая Bronze Union в 2018 году, обладала ранее неизвестными функциями. В частности, в нее был добавлен инструмент для перенаправления пакетов под названием HTran.
Еще одним «антикварным» инструментом из арсенала Bronze Union является Gh0st RAT, исходный код которого был опубликован в 2008 году. С того времени несколько раз всплывали новые модификации трояна, однако в 2018 году Bronze Union использовала свою собственную версию Gh0st RAT.
В частности, группировка внесла изменения в заголовки трояна. С целью скрыть от обнаружения связь вредоноса с C&C-сервером злоумышленники добавили рандомизацию в идентификатор Gh0st RAT. Благодаря обфускации им удавалось скрывать истинный источник сетевого трафика.
