Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Южнокорейская Higaisa атакует китайских пользователей, раздавая поддельный VPN

31/10/23

images (22)

Исследователи в области кибербезопасности Cyble предупреждают о новой волне атак на китайских пользователей Интернета со стороны хакерской группировки Higaisa. Как стало известно, злоумышленники создали фишинговый сайт, который внешне очень похож на легитимный VPN-сервис OpenVPN и разместили на нём вредоносный файл-установщик, замаскированный под законное программное обеспечение, пишет Securitylab.

В ходе расследования специалисты Cyble обнаружили ещё несколько вредоносных файлов, маскирующихся под установщики популярных приложений Zoom и Google Meet.

Зловредные инсталляторы, использованные в атаках, написаны на языке программирования Rust и представляют из себя программу-бэкдор. После запуска бэкдор выполняет ряд действий, чтобы расшифровать и активировать вредоносный шелл-код, который затем устанавливает зашифрованное соединение с удалённым сервером управления хакеров. Таким образом, злоумышленники получают полный контроль над заражённым устройством.

Эксперты отмечают, что методы, использованные хакерами в этих атаках, очень похожи на те, которые ранее применяла группировка Higaisa. Это может с высокой долей вероятности говорить о том, что за новыми атаками стоит именно эта группа.

Higaisa — хакерская группировка, предположительно базирующаяся в Южной Корее. Об её активности исследователям известно с 2016 года, включая использование троянов Gh0st и PlugX, а также вредоносных программ для мобильных устройств. Основными целями Higaisa выступают правительственные учреждения, правозащитные организации и другие объединения, связанные с Северной Кореей. Однако одной только КНДР хакеры не ограничиваются, что и подтверждает атака на китайских пользователей.

Чтобы защитить себя от подобных атак, эксперты рекомендуют быть предельно осторожными при установке программ из сети — загружать ПО только с проверенных ресурсов и обязательно проверяя безопасность соединения.

Темы:КитайПреступленияЮжная КореяVPN-клиентыCyble
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...