Южнокорейская Higaisa атакует китайских пользователей, раздавая поддельный VPN
31/10/23
Исследователи в области кибербезопасности Cyble предупреждают о новой волне атак на китайских пользователей Интернета со стороны хакерской группировки Higaisa. Как стало известно, злоумышленники создали фишинговый сайт, который внешне очень похож на легитимный VPN-сервис OpenVPN и разместили на нём вредоносный файл-установщик, замаскированный под законное программное обеспечение, пишет Securitylab.
В ходе расследования специалисты Cyble обнаружили ещё несколько вредоносных файлов, маскирующихся под установщики популярных приложений Zoom и Google Meet.
Зловредные инсталляторы, использованные в атаках, написаны на языке программирования Rust и представляют из себя программу-бэкдор. После запуска бэкдор выполняет ряд действий, чтобы расшифровать и активировать вредоносный шелл-код, который затем устанавливает зашифрованное соединение с удалённым сервером управления хакеров. Таким образом, злоумышленники получают полный контроль над заражённым устройством.
Эксперты отмечают, что методы, использованные хакерами в этих атаках, очень похожи на те, которые ранее применяла группировка Higaisa. Это может с высокой долей вероятности говорить о том, что за новыми атаками стоит именно эта группа.
Higaisa — хакерская группировка, предположительно базирующаяся в Южной Корее. Об её активности исследователям известно с 2016 года, включая использование троянов Gh0st и PlugX, а также вредоносных программ для мобильных устройств. Основными целями Higaisa выступают правительственные учреждения, правозащитные организации и другие объединения, связанные с Северной Кореей. Однако одной только КНДР хакеры не ограничиваются, что и подтверждает атака на китайских пользователей.
Чтобы защитить себя от подобных атак, эксперты рекомендуют быть предельно осторожными при установке программ из сети — загружать ПО только с проверенных ресурсов и обязательно проверяя безопасность соединения.