• Ср. Май 12th, 2021

Главный портал о новостях в сфере информационной безопасности

Популярные метки

Исследователи кибербезопасности Компании Positive Tehnologies раскрыли серию атак злоумышленников.

Предполагается что атаки были китайского происхождения, нацеленные на организации в России и Гонконге с помощью вредоносных программ, включая ранее недокументированный бэкдор.

Авторство хакерской атаки приписывается Winnti (или APT41)

Positive Technologies датировала первую атаку 12 мая 2020 года, когда APT использовал ярлыки LNK для загрузки и запуска вредоносного ПО. 

Во второй атаке, обнаруженной 30 мая, использовался вредоносный архивный файл RAR, состоящий из двух ярлыков PDF-документов, которые, как утверждается, были резюме и сертификатом IELTS.

Сами ярлыки содержали ссылки на страницы, размещенные на Zeplin, легитимном сервисе совместной работы для дизайнеров и разработчиков, который являлся промежуточным звеном для получения вредоносного ПО, которое, в свою очередь, включает загрузчик шелл-кода («svchast.exe») и бэкдор под названием Crosswalk. («3t54dE3r.tmp»).

Crosswalk, впервые задокументированный FireEye в 2017 году, представляет собой простой модульный бэкдор, способный проводить разведку системы и получать дополнительные модули с сервера, управляемого злоумышленником, в виде шелл-кода.

Хотя этот метод действий имеет сходство с корейской группировкой Higaisa, которая, как было обнаружено, использовала файлы LNK, прикрепленные к электронному письму, для запуска атак на ничего не подозревающих жертв в 2020 году. Исследователи заявили, что использование Crosswalk предполагает участие Winnti.

Это также подтверждается тем фактом, что сетевая инфраструктура образцов пересекается с ранее известной инфраструктурой APT41, причем некоторые из доменов прослеживаются до атак Winnti на индустрию онлайн-видеоигр в 2013 году.

Новая волна атак не исключение. Примечательно, что в число целей входит Battlestate Games, разработчик игр на Unity3D из Санкт-Петербурга.

Кроме того, исследователи обнаружили дополнительные образцы атак в виде файлов RAR, которые содержали Cobalt Strike Beacon в качестве полезной нагрузки, при этом хакеры в одном случае ссылались на протесты США, связанные со смертью Джорджа Флойда в прошлом году, как на приманку.

В другом случае взломанные сертификаты, принадлежащие тайваньской компании Zealot Digital, были использованы для нанесения ударов по организациям в Гонконге с помощью инжекторов Crosswalk и Metasploit, а также ShadowPad , Paranoid PlugX и нового бэкдора .NET под названием FunnySwitch.

Бэкдор, который, похоже, все еще находится в стадии разработки, способен собирать системную информацию и запускать произвольный код JScript. Он также имеет ряд общих черт с Crosswalk, что заставляет исследователей полагать, что они были написаны одними и теми же разработчиками.

Ранее Paranoid PlugX был связан с атаками на компании индустрии видеоигр в 2017 году. Таким образом, развертывание вредоносного ПО через сетевую инфраструктуру Winnti правдоподобности версии «совместной работы» между двумя группами.

«Winnti продолжает преследовать разработчиков и издателей игр в России и других странах», — заключили исследователи. «Небольшие студии, как правило, пренебрегают информационной безопасностью, что делает их заманчивой целью. Атаки на разработчиков программного обеспечения особенно опасны из-за того риска, который они представляют для конечных пользователей, как это уже произошло в известных случаях CCleaner и ASUS».

Andrey Kopelyan

У самурая нет цели, у самурая есть путь.