Новая тактика APT17: кибершпионаж под маской Skype
19/07/24
Китайская хакерская группа APT17 атаковала итальянские компании и госучреждения, используя модифицированную версию известного вредоносного ПО 9002 RAT, замаскированного под приложение Skype. Об этом сообщила итальянская компания TG Soft в своём недавнем отчёте.
Атаки произошли 24 июня и 2 июля 2024 года. В первом случае злоумышленники использовали документ Microsoft Office, а во втором — обычную ссылку. Оба варианта предлагали жертвам установить пакет Skype для бизнеса через поддельный домен, имитирующий официальный итальянский ресурс: «meeting[.]equitaligaiustizia[.]it/angelo[.]maisto[.]guest». В результате установки жертвы получали на свой компьютер троян удалённого доступа 9002 RAT, пишет Securitylab.
Группа APT17, также известная как Aurora Panda и Bronze Keystone, впервые была описана в 2013 году компанией Mandiant. Тогда хакеры использовали уязвимости в Internet Explorer для кибершпионажа. Вредоносное ПО 9002 RAT, также известное как Hydraq и McRAT, впервые приобрело известность в 2009 году в ходе операции Aurora, нацеленной на Google и другие крупные компании.
В последних атаках злоумышленники использовали фишинговые методы, чтобы заставить получателей переходить по ссылке и скачивать MSI-установщик Skype для бизнеса. Запуск этого установщика приводит к выполнению Java-архива (JAR) через скрипт Visual Basic (VBS), который одновременно устанавливает в том числе и легитимный Skype для бизнеса, чтобы не вызвать у жертвы подозрений. Затем установленное Java-приложение расшифровывает и запускает shell-код, активирующий 9002 RAT.
9002 RAT — модульный троян, способный отслеживать сетевой трафик, делать скриншоты, перечислять файлы, управлять процессами и выполнять команды с удалённого сервера для облегчения сетевого обнаружения. TG Soft отметила, что это ПО постоянно обновляется, включая бесфайловые варианты, что значительно снижает вероятность его обнаружения.