Čínští kyberšpioni jsou zpět

hacking China cyber security

V červnu 2020 výzkumníci odhalili pokročilou kybernetickou špionážní kampaň zaměřenou na vládní a vojenský sektor ve Vietnamu. Záměrem bylo nasadit do systémů program umožňující vzdálenou správu, který poskytuje plnou kontrolu nad infikovaným zařízením. Další analýza naznačila, že tuto kampaň provedla skupina spojená s Cycldekem, čínsky mluvící hackerskou skupinou aktivní nejméně od roku 2013.

Čínsky mluvící hackerské skupiny spolu často sdílejí své techniky a metody, což analytikům společnosti Kaspersky usnadňuje hledání aktivit v oblasti pokročilých trvalých hrozeb (APT), které souvisejí se známými kyberneticko-špionážními skupinami, jako LuckyMouse, HoneyMyte a Cycldek. Okamžitě tedy zaznamenali, že se při útoku ve Vietnamu znovu objevila jedna z už známých taktik spojená s DLL triádou.

DLL nebo dynamické knihovny jsou části kódu určené k použití jinými programy v počítači. Při bočním načítání DLL se legitimně podepsaný soubor (například z aplikace Microsoft Outlook) zneužije k načtení škodlivé knihovny DLL, což umožňuje útočníkům obejít zabezpečení. Při tomto útoku spustí infikovaný DLL řetězec škodlivý shellcode, který dešifruje finální program: trojan umožňující vzdálený přístup, který dává útočníkům plnou kontrolu nad infikovaným zařízením – tým ho pojmenoval FoundCore.

Ještě zajímavější než tento nový typ útoku byla metoda použitá k ochraně škodlivého kódu před odhalením – metoda, která signalizuje zásadní pokrok v sofistikovanosti útočníků v této oblasti. Záhlaví (cíl a zdroj kódu) koncového programu zcela odstranili a to málo informací, které zůstalo, obsahovalo nesouvislé hodnoty. Útočníci tím analytikům výrazně ztěžují zpětné prozkoumání malwaru. Navíc jsou komponenty řetězce infekce pevně spojené, což znamená, že jednotlivé části je obtížné analyzovat izolovaně, a znemožňuje to úplnou analýzu útoku.

Vědci také zjistili, že řetězec infekcí instaluje další dva malwary. První, DropPhone, shromažďuje informace o prostředí z cílových zařízení a odesílá je do DropBoxu. Druhým je CoreLoader, který spouští kód, který pomáhá malwaru uniknout detekci.

Tato škodlivá kampaň zasáhla desítky počítačů, z toho 80 % ve Vietnamu. Většina z nich patřila vládnímu nebo vojenskému sektoru, v menší míře také subjektům ve zdravotnictví, školství nebo politice. Další zjištěné cíle byly ve Střední Asii a v Thajsku.

TZ

@RadekVyskovsky

Napsat komentář