За даними компанії з кібербезпеки Positive Technologies, китайська хакерська група APT31, що працює від імені китайського уряду, проводячи кібершпигунські кампанії проти цілей, що становлять інтерес для країни, використовує нову шкідливу програму в останніх атаках на цілі в Монголії, Білорусі, Канади, США та вперше – в Росії.
Як пише SecurityWeek, група APT31 також відстежується під іменами Judgment Panda, Zirconium та Red Keres. У липні 2021 року групу офіційно звинуватили у використанні уразливостей на серверах Microsoft Exchange в організованих від імені Китаю кібератаках, а уряд Франції попередив про постійне зловживання APT31 зламаними маршрутизаторами під час атак.
Вважається, що група здійснила щонайменше 10 масштабних кібератак у період із січня по липень 2021 року, використавши троянський код віддаленого доступу (RAT) і атакувала переважно організації в Монголії, Росії, Білорусії, Канаді та США.
Згідно з звітом Positive Technologies, вперше ця конкретна група хакерів атакувала Росію, і дані свідчать про те, що принаймні деякі цілі тут були урядовими організаціями.
В рамках цієї діяльності кібершпигуни застосували новий дропер шкідливого програмного забезпечення, яка використовує бічне завантаження DLL для виконання корисного навантаження, що є шкідником, на цільовій машині (поряд зі шкідливою бібліотекою, дропер розгортає та виконує на компрометованій машині додаток, уразливий для бічного завантаження DLL). Намагаючись приховати шкідливі дії, вищезгадана бібліотека імітує легальний файл MSVCR100.dll, який використовує програма Microsoft Visual Studio.
Під час розслідування діяльності хакерської групи дослідники з питань безпеки Positive Technologies виявили кілька версій дропера, у тому числі ту, яка завантажує всі файли з командно-контрольного сервера.
“Варто також зазначити, що в деяких випадках, особливо під час атак на організації в Монголії, дропер був підписаний дійсним цифровим підписом”, – кажуть дослідники, припуск, що підпис, швидше за все, був вкрадений.
Шкідлива бібліотека, яку використовує дропер, відповідає за отримання та виконання основного корисного навантаження.
Після розгортання троян чекає команд із сервера. На основі цього він може збирати інформацію про диски, шукати файли, створювати процес, створювати новий потік та використовувати обчислювальні потужності процесора в своїх цілях, створювати каталог або видаляти себе.
Враховуючи численні подібності з DropboxAES RAT, які Secureworks раніше приписували APT31, Positive Technologies дійшли висновку, що вони розглядають варіант того самого шкідливого програмного забезпечення, яке показало лише незначні відмінності. Однак не було виявлено збігів між мережевими інфраструктурами виявлених зразків шкідливого програмного забезпечення.
“Виявлені подібності з попередніми версіями шкідливих зразків, описаними дослідниками, наприклад, у 2020 році, свідчать про те, що група розширює географію своїх інтересів до країн, де можна виявити її зростаючу активність, зокрема до Росії. Ми вважаємо, що незабаром будуть виявлені інші випадки участі цієї групи в атаках “, – підсумовує Positive Technologies.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
В Україні користувачів Android та iOS атакує небезпечне шкідливе ПЗ
Чи варто використовувати VPN для перегляду усіх веб-сторінок? ПОРАДИ
Як перевірити шкідливий чи безпечний сайт? – ПОРАДИ
Як змусити AirPods повідомляти про дзвінки та сповіщення на iPhone? – ІНСТРУКЦІЯ
Як перевірити, які програми на iPhone Ви використовуєте найчастіше? – ІНСТРУКЦІЯ
До речі, користувачі ніколи не зможуть встановити Windows 11 на несумісні пристрої. Групова політика не дозволить Вам обійти обмеження апаратного забезпечення для установки Windows 11.
Apple має намір додати підтримку системи розпізнавання осіб Face ID на комп’ютери Mac протягом наступних двох років. Про це повідомив оглядач Bloomberg.
Зловмисники все частіше використовують безкоштовний месенджер Discord як канал для поширення шкідливих програм.
Окрім цього, стало відомо про великий витік даних учасників Clubhouse. Провідний експерт з кібербезпеки Джіт Джайн повідомив, що повна база телефонних номерів Clubhouse виставлена на продаж в Darknet.
Також стало відомо, що операційна система Windows 11, яка ще офіційно не вийшла, але вже доступна для скачування і попереднього знайомства, використовується зловмисниками, які намагаються підсунути користувачеві шкідливе ПЗ під виглядом нової ОС.