«Лаборатория Касперского» обнаружила новую кампанию кибершпионажа в Азиатско-Тихоокеанском регионе
В июне 2020 г. исследователи «Лаборатории Касперского» выявили новую кампанию кибершпионажа, нацеленную на правительственные и военные организации во Вьетнаме. Ее конечной целью была установка инструмента удаленного администрирования, который обеспечивал полный контроль над зараженным устройством. Дальнейший анализ показал, что вредоносную кампанию с использованием усовершенствованных техник провели злоумышленники, связанные с Cycldek — китайскоязычной APT-группировкой, действующей по меньшей мере с 2013 г.
Зачастую китайскоязычные APT-группировки делятся методиками друг с другом. Это позволяет исследователям «Лаборатории Касперского» проще выявлять целевые атаки, за которыми стоят широко известные LuckyMouse, HoneyMyte и Cycldek. Изучая новую кампанию кибершпионажа, эксперты сразу обратили внимание на тактики, применяемые против правительственных и военных организаций во Вьетнаме, в частности — на подмену динамически загружаемых библиотек для запуска вредоносного кода.
Используемый злоумышленниками способ защиты вредоносного кода от анализа демонстрирует, что техники APT-группировок Азиатско-Тихоокеанского региона совершенствуются. Заголовки исполняемых файлов финальных троянцев были полностью удалены, а оставшиеся содержали бессмысленные значения. Таким образом атакующие значительно затрудняют экспертам исследование вредоносного ПО. Помимо этого, компоненты цепи заражения были тесно связаны, а значит, отдельные фрагменты трудно и иногда невозможно анализировать изолированно, вне общей картины вредоносной активности.
Исследователи «Лаборатории Касперского» обнаружили, что в ходе атак загружались еще две вредоносные программы. Первая — DropPhone — собирала информацию о том, что происходило на зараженном устройстве, и отправляла ее в DropBox. Вторая — CoreLoader — запускала код, который помогал вредоносному ПО избегать обнаружения защитными решениями.
Кампания кибершпионажа затронула десятки компьютеров, 80% из них находились во Вьетнаме. В большинстве случаев атакам подвергались правительственные и военные организации, а также учреждения, связанные со здравоохранением, дипломатией, образованием или политикой. Кроме того, были выявлены редкие случаи целевых атак в Центральной Азии и Таиланде.
«Вредоносная программа, использованная в последних атаках, имеет сходство со зловредом RedCore, который мы обнаружили в прошлом году. Не без доли сомнения мы считаем, что за новой кампанией кибершпионажа стоит Cycldek. Ранее она казалась нам наименее изобретательной APT-группировкой, действующей в Азиатско-Тихоокеанском регионе, однако ее недавняя активность демонстрирует совершенствование техник и значительный прогресс, — сказал Марк Лехтик, старший эксперт команды GReAT. — Сейчас можно подумать, что эта кампания кибершпионажа представляет собой локальную угрозу, однако есть вероятность, что в будущем зловред FoundCore появится и в других регионах».
Более детальная информация о кампании кибершпионажа в Азиатско-Тихоокеанском регионе доступна на Securelist.