Odborníci odhaľujú ďalšiu čínsku špionážnu kampaň zameranú na juhovýchodnú Áziu

Zistilo sa, že prebiehajúca kybernetická špionážna operácia s podozrením na spojenie s Čínou sa zameriava na vládu juhovýchodnej Ázie s cieľom nasadiť spyware na Windows systémy, pričom ostali pod radarom viac ako tri roky.

“V tejto kampani útočníci využili sadu exploitov a zavádzačov balíka Microsoft Office s technikami antianalýzy a ladenia, aby nainštalovali predtým neznáme zadné vrátka na počítače obetí,” uviedli vedci z Check Point Research v dnes zverejnenej správe.

Infekčný reťazec funguje tak, že sa posielajú návnady, vydávajúce sa za iné subjekty v rámci vlády, viacerým členom ministerstva zahraničných vecí, ktoré po otvorení získajú ďalšiu fázu dát zo servera útočníka, ktorý obsahuje šifrovaný downloader. Downloader zase zhromažďuje a exfiltruje systémové informácie na vzdialený server, ktorý následne odpovie načítačom shell kódu.

Použitie ozbrojených kópií legitímne vyzerajúcich oficiálnych dokumentov tiež naznačuje, že „útočníci museli najskôr zaútočiť na iné oddelenie v rámci cieľového štátu, pričom ukradli a vyzbrojili dokumenty na použitie proti ministerstvu zahraničných vecí,“ povedal Lotem Finkelstein, vedúci spravodajstva o hrozbách. na Check Point.

Posledný odkaz v útoku zahŕňa zavádzač, ktorý nadviaže spojenie so vzdialeným serverom na stiahnutie, dešifrovanie a spustenie implantátu s názvom „VictoryDll_x86.dll“, ktorý je schopný vykonávať operácie so súbormi, zachytávať snímky obrazovky, vytvárať a ukončovať procesy a dokonca aj vypnúť infikovaný stroj.

Check Point uviedol, že protivník vynaložil značné úsilie na zakrytie svojej činnosti tým, že od svojho vývoja v roku 2017 niekoľkokrát zmenil infraštruktúru, pričom zadné vrátka dostali svoj vlastný spravodlivý podiel revízií, aby boli odolnejšie voči analýze a znížili mieru detekcie v každej fáze.

Dlhotrvajúca kampaň bola prepojená so „strednou až vysokou mierou istoty“ s čínskou skupinou pre pokročilých perzistentných hrozieb (APT), ktorú nazýva „SharpPanda“ na základe testovacích verzií backdoor z roku 2018, ktoré boli do VirusTotal nahrané z Číny a hercovo používanie zbraňového nástroja Royal Road RTF, nástroja, ktorý sa od konca roku 2018 používal v kampaniach pripisovaných známym čínskym skupinám hrozieb.

Niekoľko ďalších indícií poukazuje na tento záver, vrátane skutočnosti, že servery velenia a riadenia (C2) vrátili užitočné zaťaženie iba medzi 01:00 a 08:00 UTC, čo je podľa výskumníkov pracovný čas v krajine útočníkov, a že servery C2 medzi májom nevrátili žiadne užitočné zaťaženie 1 a 5 — dokonca aj počas pracovného času — ktorý sa zhoduje so sviatkami Sviatku práce v Číne.

Tento vývoj je ďalším náznakom toho, že viaceré skupiny kybernetických hrozieb, o ktorých sa predpokladá, že pracujú na podpore dlhodobých ekonomických záujmov Číny, pokračujú v rozbíjaní sietí patriacich vládam a organizáciám, pričom zároveň trávia veľa času zdokonaľovaním nástrojov vo svojom arzenáli. aby skryli svoje prieniky.

“Všetky dôkazy poukazujú na skutočnosť, že máme čo do činenia s vysoko organizovanou operáciou, ktorá vynaložila značné úsilie na to, aby zostala pod radarom,” povedal Finkelstein. “Celkovo, útočníci, o ktorých sa domnievame, že sú čínskou hrozbou, boli vo svojom prístupe veľmi systematickí.”

“Útočníci sa nezaujímajú len o chladné dáta, ale aj o to, čo sa každú chvíľu deje na cieľovom osobnom počítači, čo vedie k živej špionáži. Hoci sa nám podarilo zablokovať opísanú operáciu sledovania pre vládu juhovýchodnej Ázie, je možné, že Skupina hrozieb používa svoju novú kybernetickú špionážnu zbraň na iné ciele po celom svete,“ dodal.