Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Китайская кибершпионская группа Cycldek совершенствует свои техники

06/04/21

chinese censorship-1Китайская кибершпионская группировка Cycldek продемонстрировала усовершенствованные техники атаки в недавней вредоносной кампании против правительственных и военных организаций Вьетнама.

Активная как минимум с 2013 года группировка Cycldek (другие названия Goblin Panda и Conimes) известна своими кибератаками на правительства стран Юго-Восточной Азии, в особенности Вьетнама. В июне прошлого года она была замечена в использовании специально созданного вредоносного ПО для похищения данных с физически изолированных компьютеров. В недавней волне атак Cycldek продемонстрировала еще большее совершенствование своих навыков, сообщается в новом отчете «Лаборатории Касперского».

Проводимая с июня 2020-го по январь 2021 года вредоносная кампания полагалась на цепочку заражения с использованием загрузки DLL по сторонним каналам для доставки на систему вредоносного кода, который в итоге развертывал троян для удаленного доступа (RAT), предоставлявший хакерам полный контроль над компьютером.

В ходе атак на вьетнамские организации злоумышленники использовали легитимный компонент Microsoft Outlook для загрузки DLL, загружавшей shell-код, играющий роль загрузчика трояна FoundCore RAT. После развертывания вредонос запускал четыре процесса: один – для получения персистентности на системе в роли сервиса, второй – для сокрытия первого процесса, третий – для предотвращения доступа к вредоносному файлу и четвертый – для установки связи с C&C-сервером.

FoundCore RAT предоставляет злоумышленникам полный контроль над атакуемой системой. Вредонос поддерживает множество разнообразных команд, позволяя манипулировать файловой системой и процессами, выполнять произвольные команды, делать скриншоты и пр. Кроме того, в ходе атак хакеры использовали вредоносное ПОDropPhone и CoreLoader.

Темы:КитайПреступленияКиберугрозыХакерские атаки
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...