Южнокорейская Higaisa атакует китайских пользователей, раздавая поддельный VPN

Исследователи в области кибербезопасности Cyble предупреждают о новой волне атак на китайских пользователей Интернета со стороны хакерской группировки Higaisa. Как стало известно, злоумышленники создали фишинговый сайт, который внешне очень похож на легитимный VPN-сервис OpenVPN и разместили на нём вредоносный файл-установщик, замаскированный под законное программное обеспечение, пишет Securitylab.

В ходе расследования специалисты Cyble обнаружили ещё несколько вредоносных файлов, маскирующихся под установщики популярных приложений Zoom и Google Meet.

Зловредные инсталляторы, использованные в атаках, написаны на языке программирования Rust и представляют из себя программу-бэкдор. После запуска бэкдор выполняет ряд действий, чтобы расшифровать и активировать вредоносный шелл-код, который затем устанавливает зашифрованное соединение с удалённым сервером управления хакеров. Таким образом, злоумышленники получают полный контроль над заражённым устройством.

Эксперты отмечают, что методы, использованные хакерами в этих атаках, очень похожи на те, которые ранее применяла группировка Higaisa. Это может с высокой долей вероятности говорить о том, что за новыми атаками стоит именно эта группа.

Higaisa — хакерская группировка, предположительно базирующаяся в Южной Корее. Об её активности исследователям известно с 2016 года, включая использование троянов Gh0st и PlugX, а также вредоносных программ для мобильных устройств. Основными целями Higaisa выступают правительственные учреждения, правозащитные организации и другие объединения, связанные с Северной Кореей. Однако одной только КНДР хакеры не ограничиваются, что и подтверждает атака на китайских пользователей.

Чтобы защитить себя от подобных атак, эксперты рекомендуют быть предельно осторожными при установке программ из сети — загружать ПО только с проверенных ресурсов и обязательно проверяя безопасность соединения.