Неизвестные хакеры заражают троянами компании в Китае

ИБ-компания Proofpoint сообщает, что китайские компании на материковой части страны стали объектом атак киберпреступников, многие из которых используют новые виды вредоносных программ. Аналитики заявили, что в 2023 году было обнаружено около 30 таких кампаний в Китае.

Атаки включают в себя имитацию китайских компаний злоумышленниками, которые используют фишинг или социальную инженерию, чтобы убедить ничего не подозревающих сотрудников устанавливать вредоносные программы, пишет Securitylab.

Кампании распространяют следующие вредоносные программы:

• троян удалённого доступа ValleyRAT (Remote Access Trojan, RAT), написанный на C++, скомпилированный на китайском языке и демонстрирующий функции типичного RAT-трояна. Большинство кампаний, распространяющих ValleyRAT, проводились на китайском языке, и в основном использовали поддельные счета на оплату, связанные с различными китайскими компаниями;
• новый вариант Gh0stRAT, который Proofpoint называет Sainbox. Почти все кампании с использованием Sainbox использовали документ-приманку в виде счета на оплату;
• вредоносное ПО Purple Fox, которое было обнаружено в трех кампаниях и также использовалось против японских целей. Вредонос обладает возможностями руткита и бэкдора и используется в качестве загрузчика для других вредоносных программ.

Считается, что за кампаниями стоят разные группировки. Неизвестно, взаимодействуют ли они между собой и обмениваются ли инструментами и опытом. Аналитики Proofpoint не делают выводов о мотивах кибератак и не указывают, откуда происходят группы угроз, но предполагают, что жертвы хакеров находятся на материковой части Китая.

Proofpoint подчеркивает, что кампании немасштабны и обычно направлены на международные организации, работающие в Китае. Темы и содержание писем обычно написаны на китайском языке и связаны с бизнес-темами, такими как счета, платежи и новые продукты.

Почти десятилетие спустя после утечки документов Эдварда Сноудена, раскрывших, что АНБ взломало серверы китайского телекоммуникационного гиганта Huawei, Пекин официально признал эту атаку. По заявлению Пекина АНБ «систематически проводило атаки» на Китай в попытке украсть «важные данные».

В свою очередь, директор ФБР США Крис Урэй заявил, что кибершпионская программа Китая настолько обширна, что превосходит все аналогичные программы других крупных стран вместе взятых. Комментарии директора ФБР стали необычайно жёсткими даже на фоне длительных опасений США относительно китайских хакеров.