Nový čínsky spyware sa používa pri rozšírených kyberšpionážnych útokoch

Aktér hrozby, o ktorom sa predpokladá, že je čínskeho pôvodu, bol spájaný so sériou 10 útokov zameraných na Mongolsko, Rusko, Bielorusko, Kanadu a USA od januára do júla 2021, ktoré zahŕňali nasadenie trójskeho koňa pre vzdialený prístup (RAT) na infikované systémy. , podľa nového výskumu.

Vniknutia boli pripísané pokročilej perzistentnej hrozbe s názvom APT31 (FireEye), ktorú sleduje komunita kybernetickej bezpečnosti pod menami Zirconium (Microsoft), Judgment Panda (CrowdStrike) a Bronze Vinewood (Secureworks).

Podľa FireEye je táto skupina „aktérom kybernetickej špionáže spojenej s Čínou, ktorý sa zameriava na získavanie informácií, ktoré môžu poskytnúť čínskej vláde a štátnym podnikom politické, ekonomické a vojenské výhody.

Spoločnosť Positive Technologies vo svojom príspevku zverejnenom v utorok odhalila nový dropper malvéru, ktorý sa používal na uľahčenie útokov, vrátane získavania šifrovaných dát v ďalšej fáze zo vzdialeného servera príkazov a riadenia, ktoré sa následne dekódujú, aby sa spustili zadné dvere.

Škodlivý kód prichádza so schopnosťou sťahovať ďalší malvér, čím potenciálne vystavuje postihnuté obete ďalšiemu riziku, ako aj vykonávať operácie so súbormi, extrahovať citlivé údaje a dokonca sa sám vymazať z napadnutého počítača.

“Kód na spracovanie [self-delete] príkaz je obzvlášť zaujímavý: všetky vytvorené súbory a kľúče registra sa vymažú pomocou súboru bat,“ uviedli výskumníci spoločnosti Positive Technologies Denis Kuvshinov a Daniil Koloskov.

Osobitnú pozornosť si zasluhuje aj podobnosť malvéru s trójskym koňom s názvom DropboxAES RAT, ktorý minulý rok použila rovnaká skupina hrozieb a spoliehal sa na Dropbox pri svojej komunikácii príkazov a ovládania (C2), s početnými presahmi nájdenými v techniky a mechanizmy použité na vloženie útočného kódu, dosiahnutie perzistencie a techniky použité na odstránenie špionážneho nástroja.

“Odhalené podobnosti s predchádzajúcimi verziami škodlivých vzoriek opísaných výskumníkmi, ako napríklad v roku 2020, naznačujú, že skupina rozširuje geografiu svojich záujmov do krajín, kde možno zistiť jej rastúcu aktivitu, najmä do Ruska,” uzavreli vedci.