Разделы

Безопасность Стратегия безопасности

«Лаборатория Касперского» обнаружила новую кампанию кибершпионажа в Азиатско-Тихоокеанском регионе

В июне 2020 г. исследователи «Лаборатории Касперского» выявили новую кампанию кибершпионажа, нацеленную на правительственные и военные организации во Вьетнаме. Ее конечной целью была установка инструмента удаленного администрирования, который обеспечивал полный контроль над зараженным устройством. Дальнейший анализ показал, что вредоносную кампанию с использованием усовершенствованных техник провели злоумышленники, связанные с Cycldek — китайскоязычной APT-группировкой, действующей по меньшей мере с 2013 г.

Зачастую китайскоязычные APT-группировки делятся методиками друг с другом. Это позволяет исследователям «Лаборатории Касперского» проще выявлять целевые атаки, за которыми стоят широко известные LuckyMouse, HoneyMyte и Cycldek. Изучая новую кампанию кибершпионажа, эксперты сразу обратили внимание на тактики, применяемые против правительственных и военных организаций во Вьетнаме, в частности — на подмену динамически загружаемых библиотек для запуска вредоносного кода.

Используемый злоумышленниками способ защиты вредоносного кода от анализа демонстрирует, что техники APT-группировок Азиатско-Тихоокеанского региона совершенствуются. Заголовки исполняемых файлов финальных троянцев были полностью удалены, а оставшиеся содержали бессмысленные значения. Таким образом атакующие значительно затрудняют экспертам исследование вредоносного ПО. Помимо этого, компоненты цепи заражения были тесно связаны, а значит, отдельные фрагменты трудно и иногда невозможно анализировать изолированно, вне общей картины вредоносной активности.

Исследователи «Лаборатории Касперского» обнаружили, что в ходе атак загружались еще две вредоносные программы. Первая — DropPhone — собирала информацию о том, что происходило на зараженном устройстве, и отправляла ее в DropBox. Вторая — CoreLoader — запускала код, который помогал вредоносному ПО избегать обнаружения защитными решениями.

Дмитрий Красовский, «Т1 Цифровая Академия»: Система обучения в России подстраивается под задачи работодателей
Цифровизация

Кампания кибершпионажа затронула десятки компьютеров, 80% из них находились во Вьетнаме. В большинстве случаев атакам подвергались правительственные и военные организации, а также учреждения, связанные со здравоохранением, дипломатией, образованием или политикой. Кроме того, были выявлены редкие случаи целевых атак в Центральной Азии и Таиланде.

«Вредоносная программа, использованная в последних атаках, имеет сходство со зловредом RedCore, который мы обнаружили в прошлом году. Не без доли сомнения мы считаем, что за новой кампанией кибершпионажа стоит Cycldek. Ранее она казалась нам наименее изобретательной APT-группировкой, действующей в Азиатско-Тихоокеанском регионе, однако ее недавняя активность демонстрирует совершенствование техник и значительный прогресс, — сказал Марк Лехтик, старший эксперт команды GReAT. — Сейчас можно подумать, что эта кампания кибершпионажа представляет собой локальную угрозу, однако есть вероятность, что в будущем зловред FoundCore появится и в других регионах».

Более детальная информация о кампании кибершпионажа в Азиатско-Тихоокеанском регионе доступна на Securelist.



CNews Forum 2024 CNews Forum 2024

erid:

Рекламодатель:

ИНН/ОГРН:

byteoilgas_conf 2024 byteoilgas_conf 2024

erid:

Рекламодатель:

ИНН/ОГРН:

LANSOFT: время комплексных бизнес-решений LANSOFT: время комплексных бизнес-решений

erid:

Рекламодатель:

ИНН/ОГРН:

Orion Digital Day Orion Digital Day

erid:

Рекламодатель:

ИНН/ОГРН:

ELMA DAY ELMA DAY

erid:

Рекламодатель:

ИНН/ОГРН: