«Лаборатория Касперского» обнаружила новую кампанию кибершпионажа

Еще в июне 2020 года исследователи «Лаборатории Касперского» выявили новую кампанию кибершпионажа, нацеленную на правительственные и военные организации. Тогда их целью стал Вьетнам и установка инструмента удаленного администрирования, который обеспечивал полный контроль над зараженным устройством.

Вредоносную кампанию провели злоумышленники, связанные с Cycldek — китайскоязычной APT-группировкой, действующей с 2013 года. Зачастую китайскоязычные APT-группировки делятся методиками друг с другом. Это позволяет «Лаборатории Касперского» проще выявлять целевые атаки, за которыми стоят широко известные LuckyMouse, HoneyMyte и Cycldek

Сейчас исследователи изучают новую кампанию кибершпионажа, которая похожа на прошлые тактики, в частности — на подмену динамически загружаемых библиотек для запуска вредоносного кода. Также отмечается, что злоумышленники стали совершенствовать свои способы защиты.

Заголовки исполняемых файлов финальных троянцев были полностью удалены, а оставшиеся содержали бессмысленные значения. Так «атакующие» значительно затрудняют экспертам исследование вредоносного ПО.  Компоненты цепи заражения тесно связаны, а значит, отдельные фрагменты трудно и иногда невозможно анализировать, вне общей картины вредоносной активности.

Исследователи «Лаборатории Касперского» обнаружили, что в ходе атак загружались еще две вредоносные программы. Первая — DropPhone — собирала информацию о том, что происходило на зараженном устройстве, и отправляла ее в DropBox. Вторая — CoreLoader — запускала код, который помогал вредоносному ПО избегать обнаружения защитными решениями.

Кампания кибершпионажа затронула десятки компьютеров, 80% из них находились во Вьетнаме. Атакам подвергались даже учреждения, связанные со здравоохранением, дипломатией, образованием и политикой. Выявлены редкие случаи целевых атак в Центральной Азии и Таиланде.

«Сейчас можно подумать, что эта кампания кибершпионажа представляет собой локальную угрозу, однако есть вероятность, что в будущем зловред FoundCore появится и в других регионах», — комментирует Марк Лехтик, старший эксперт команды GReAT.

Более детальная информация о кампании кибершпионажа в Азиатско-Тихоокеанском регионе доступна на Securelist.

Подписывайтесь на наш Telegram-канал и читайте новости первыми!