29/03/22
Китайская киберпреступная группировка Scarab использовала специальный бэкдор под названием HeaderTip в рамках кампании, нацеленной на украинские организации.
По словам экспертов из SentinelOne, организаторы кампании целенаправленного фишинга рассылают архив RAR с исполняемым файлом, предназначенным для скрытной установки вредоносной DLL-библиотеки под названием HeaderTip в фоновом режиме.
Группировка Scarab была обнаружена командой Symantec Threat Hunter в январе 2015 года. Преступники осуществляли атаки против русскоязычных лиц по крайней мере с января 2012 года с целью развертывания бэкдора под названием Scieron.
Эксперты связали HeaderTip с группировкой Scarab, основываясь на сходстве вредоносного ПО и инфраструктуры с Scieron. HeaderTip, созданный в виде 32-разрядного DLL-файла и написанный на языке программирования C++, имеет размер 9,7 КБ, а его функциональные возможности ограничены работой в качестве пакета первого этапа для загрузки модулей следующего этапа с удаленного сервера.
По словам ИБ-специалистов, участники группировки Scarab действуют в целях сбора геополитической информации.
В фишинговых атаках используется документ-приманка, якобы отправленный от имени Национальной полиции Украины. Документы-приманки из различных кампаний содержат метаданные, указывающие на то, что их создатель использует операционную систему Windows с настройками на китайском языке.
