Čínští kyberšpioni jsou zpět | IT SECURITY NETWORK NEWS

IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Čínští kyberšpioni jsou zpět

V červnu 2020 výzkumníci odhalili pokročilou kybernetickou špionážní kampaň zaměřenou na vládní a vojenský sektor ve Vietnamu. Záměrem bylo nasadit do systémů program umožňující vzdálenou správu, který poskytuje plnou kontrolu nad infikovaným zařízením. Další analýza naznačila, že tuto kampaň provedla skupina spojená s Cycldekem, čínsky mluvící hackerskou skupinou aktivní nejméně od roku 2013.

Čínsky mluvící hackerské skupiny spolu často sdílejí své techniky a metody, což analytikům společnosti Kaspersky usnadňuje hledání aktivit v oblasti pokročilých trvalých hrozeb (APT), které souvisejí se známými kyberneticko-špionážními skupinami, jako LuckyMouse, HoneyMyte a Cycldek. Okamžitě tedy zaznamenali, že se při útoku ve Vietnamu znovu objevila jedna z už známých taktik spojená s DLL triádou.

DLL nebo dynamické knihovny jsou části kódu určené k použití jinými programy v počítači. Při bočním načítání DLL se legitimně podepsaný soubor (například z aplikace Microsoft Outlook) zneužije k načtení škodlivé knihovny DLL, což umožňuje útočníkům obejít zabezpečení. Při tomto útoku spustí infikovaný DLL řetězec škodlivý shellcode, který dešifruje finální program: trojan umožňující vzdálený přístup, který dává útočníkům plnou kontrolu nad infikovaným zařízením – tým ho pojmenoval FoundCore.

Ještě zajímavější než tento nový typ útoku byla metoda použitá k ochraně škodlivého kódu před odhalením – metoda, která signalizuje zásadní pokrok v sofistikovanosti útočníků v této oblasti. Záhlaví (cíl a zdroj kódu) koncového programu zcela odstranili a to málo informací, které zůstalo, obsahovalo nesouvislé hodnoty. Útočníci tím analytikům výrazně ztěžují zpětné prozkoumání malwaru. Navíc jsou komponenty řetězce infekce pevně spojené, což znamená, že jednotlivé části je obtížné analyzovat izolovaně, a znemožňuje to úplnou analýzu útoku.

Vědci také zjistili, že řetězec infekcí instaluje další dva malwary. První, DropPhone, shromažďuje informace o prostředí z cílových zařízení a odesílá je do DropBoxu. Druhým je CoreLoader, který spouští kód, který pomáhá malwaru uniknout detekci.

Tato škodlivá kampaň zasáhla desítky počítačů, z toho 80 % ve Vietnamu. Většina z nich patřila vládnímu nebo vojenskému sektoru, v menší míře také subjektům ve zdravotnictví, školství nebo politice. Další zjištěné cíle byly ve Střední Asii a v Thajsku.

TZ

@RadekVyskovsky

security

Google odkládá vyřazení souborů cookie třetích stran

security

Google odkládá vyřazení souborů cookie třetích stran kvůli kontrole britských regulačních orgánů

Společnost Google opět odložila své plány na zrušení sledovacích souborů cookie třetích stran ve svém webovém prohlížeči Chrome, protože se snaží vyřešit nevyřešené obavy britských

ČÍST DÁLE »

Radek Vyškovský 26 dubna, 2024

Jana Havrdová o řešení IcyBear

security

Jana Havrdová o řešení IcyBear

Dnešní doba spěje k tomu, že ten, kdo se neochrání v digitálním prostoru, ať už jsou to jednotlivci, rodiny, nebo majitelé firem, je vystavený extrémnímu

ČÍST DÁLE »

Radek Vyškovský 26 dubna, 2024

BlackTech Deuterbear

security

BlackTech se zaměřuje na technický, výzkumný a státní sektor novým nástrojem Deuterbear

Technologický, výzkumný a vládní sektor v asijsko-pacifickém regionu se v rámci nedávné vlny kybernetických útoků stal terčem útoků aktéra BlackTech. Tyto průniky otevírají cestu aktualizované

ČÍST DÁLE »

Radek Vyškovský 26 dubna, 2024

Weby vydavatelství AVERIA LTD.: • ict-nn.com • b2b-nn.com • iot-nn.com • itsec-nn.com • netguru-nn.com • gamers-generation.com • ew-nn.com • rc-nn.com • dc-nn.com • cb-nn.com • sm-nn.com • cw-nn.com • egov-nn.com • kankry.cz • jobs-nn.com • zdravi-lide.cz
AVERIA LTD., Company number 06972108, Enterprise House, 2 Pass Street, OL9 6HZ Manchester – Oldham, United Kingdom
IT SECURITY NETWORK NEWS by AVERIA LTD. © 2022 – Osobní údaje – Cookies