<< НАЗАД ко всем статьям Китайская хакерская группа нацелилась на кражу данных у правительства Юго-Восточной Азии с помощью вредоносного кода.

Как показывают последние исследования, группа хакеров, ответственная за серию шпионских атак на основе вредоносных программ в Сингапуре и Камбодже, все чаще нацеливается на правительственный сектор Юго-Восточной Азии в попытках разжиться данными.

Результаты исследований, раскрытые компанией из сферы кибербезопасности Check Point Research, показывают, что хакерские операции проводились в течение семи месяцев между декабрем 2018 и июнем 2019 года и в них применялись фишинговые уловки. Их целью являлся развод пользователей на открытие сомнительных электронных писем, загружающих вредоносные программы на их машины.

Хакерская группа, получившая название Rancor, использовала умную тактику социальной инженерии, отправляя вредоносные программы с реальных адресов электронной почты, принадлежащих государственным чиновникам, дабы они казались более надежными. По словам представителя Check Point Research целями стали правительственные ведомства, посольства и связанные с правительством организации в Юго-Восточной Азии.

Группа Rancor была впервые зафиксирована командой киберразведки Unit 42 из Palo Alto в июле прошлого года. Тогда Rancor попал в поле зрение киберразведки в связи со случаями кибершпионажа против Сингапура и Камбоджи с использованием фишинговых сообщений, содержащих вредоносные вложения, такие как файлы Microsoft Excel со встроенными макросами и приложениями HTML.

Схемы атак на правительственные учреждения Юго-Восточной Азии также можно сопоставить со схожими действиями, предпринятыми Thrip aka Lotus Blossom. Это активно поддерживаемая государством шпионская группа, которая нацелена на связь, геопространственную визуализацию и оборонную промышленность в регионе.

Методология Rancor не изменилась в их последней кампании. Она включает использование поддельных документов-официальных писем, пресс — релизов и опросов-для установки вредоносных программ на машины жертв.

Но группа постоянно меняла свою тактику, методы и процедуры по распространению вредоносных программ. Используя такие подходы как, макросы, JavaScript, известные уязвимости в Microsoft Equation Editor и даже антивирусные программы с вредоносными библиотеками.

Как работает заражение вредоносными программами.

Внедренный на компьютер цели код соединялся с контролируемым злоумышленниками «командным» сервером для загрузки и выполнения основной вредоносной программы.

В целом, в Check Point наблюдали восемь различных волн активности Rancor в течение семи месяцев. Связывая их все вместе, был выявлен почерк и происхождение злоумышленников.

Кто стоит за этим?

Исследователи Check Point говорят, что применение эксплойта в Microsoft Equation Editor (CVE-2018-0798) и тот факт, что командные сервера были доступны только между 01:00 и 08:00 UTC, указывают на группу хакеров китайского происхождения.

Ранее, в июле этого года, фирма специализирующаяся на кибербезопасности Anomali Labs сообщила, что несколько китайских хакеров обновили свои эксплоиты для использования уязвимости Microsoft Equation Editor (EE) CVE-2018-0798.

«Китайские корни атак подтверждаются также наличием в некоторых документах метаданных на китайском языке“, — сообщил источник в Check Point. «К тому же, хакерская группа прекратила свою активность в феврале 2019 года. На февраль выпадают сразу два продолжительных китайских праздника: Китайский Новый год и Весенний фестиваль.

Эти атаки демонстрируют эволюцию стратегий кибератак, собранных китайскими группами хакеров для обеспечения крупномасштабной системы наблюдения не только внутри страны, но и за ее пределами.

Вчерашний отчет Crowdstrike показал, что спонсируемые государством хакеры, работающие на правительство Китая, развернули атаки на самое большое количество отраслевых вертикалей в первой половине 2019 года, включая телекоммуникации, игры, здравоохранение, производство и фармацевтику.

 «Мы ожидаем, что группа продолжит развиваться, постоянно меняя свои «тактики, техники и процедуры»(TTPs-Tactics, Technics and Procedures, термин из сферы киберразведки, прим. автора) так же, как это было ранее, а также прилагая новые усилия, для обхода систем безопасности и ухода от обнаружения», — заключили исследователи.

  Источник: ЯДзен