Check Point Research (CPR) found new Chinese backdoor

Исследователи из Check Point Research (CPR) обнаружили новый предположительно китайский зловред

Китайские киберпреступники ведут целенаправленную кампанию по шпионажу за правительствами разных стран с использованием новой нового «зловреда» (backdoor) для Windows.

3 июня 2021 года исследовательская группа Check Point Research (CPR) распространила результаты исследования, показывающего, что backdoor был сконструирован, разработан, протестирован и развёрнут в течение трёх последних лет с целью компрометации системы министерств иностранных дел стран Юго-Восточной Азии.

Этот зловредное ПО на базе Windows работает на основе спланированной цепочки действий, начинающейся с рассылки фишинговых сообщений, целью которых является получение персональных данных сотрудников министерств и выяснения структуры и взаимоотношений департаментов правительств. Фишинговые письма для персонала министерств содержали документы, по виду соответствующие официальным, рассылаемым по электронной почте, файлы которых содержали встроенное зловредное ПО.

Вот как выглядели эти документы (конфиденциальная информация закрашена).

При открытии такого документа, происходила загрузка шаблона документа формата .RTF, с удалённого сервера, а также разновидности зловредного ПО для RTF под названием Royal Road. Этот зловред эксплуатировал набор уязвимостей в редакторе формул Microsoft Word (CVE-2017-11882, CVE-2018-0798 и CVE-2018-0802).

По словам CPR, зловред Royal Road часто используется китайскими хакерскими группами, занимающимися фишинговыми атаками типа APT (Advanced Persistent Threat).

Результатом такой атаки является внедрение кода в компьютер жертвы, открывшей заражённый файл RTF, который создаёт спланированную многоступенчатую задачу по запуску различных технологий по устранению защиты от зловредного ПО методом временного помещения в «карантин» (time-scanning, anti-sandboxing), а затем и по загрузке финального зловреда.

Зловред, подменяющий библиотеку «VictoryDll_x86.dll», содержит нескольку функций для шпионажа и выборочного копирования данных на внешний управляющий сервер киберпреступника С2 (command and control).

Кроме того, зловред может не только копировать, но и удалять файлы на компьютере жертвы под управлением внешнего сервера, видоизменять операционную систему, процессы, регистровые ключи и информацию о сервисах, а также запускать команды через cmd.exe, делать скриншоты экрана, создавать или терминировать процессы, получать названия окон верхнего уровня, и даже возможность выключать компьютер жертвы.

Зловред подключается к серверу C2 и может передавать похищенные данные с компьютера жертвы, а также сервер может быть использован для внедрения и другого зловредного ПО на компьютер. Серверы С2 первой ступени располагаются в Гонконге и Малайзии, в то время как сервер самого зловреда C2 находится на хостинге у провайдера из США.

CPR полагает, что вероятнее всего этот зловред является продуктом китайской группы киберпреступников, о чем свидетельствует время активности использования: с 1.00 ночи до 8.00 утра по Гринвичу (UTC). Первая версия этого зловреда, запущенная в 2018 году, содержала проверку ссылок на веб-адрес поисковика Baidu, который используется только в Китае и в странах с китайской диаспорой.

CPR также выяснила, что хакеры не только интересовались «холодными» данными, но также и тем, что что происходит в компьютере жертвы в определённый момент, а это уже настоящий «живой шпионаж». Кроме того, это свидетельствует о том, что группа киберкриминалов точно также может использовать этот инструмент для слежки за любыми другими правительствами в мире.

(По материалам портала ZDNet).

About Алексей Шалагинов

Независимый эксперт
This entry was posted in безопасность and tagged , , , , , , , . Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.