Китай заподозрили в использовании кибероружия против одной из соседних стран

Возможно, преступная группа использует свое новое оружие кибершпионажа против других целей по всему миру,

Организация Check Point Research (CPR) сообщила о бэкдоре, который совершенствовался в течение последних трех лет и был внедрен с целью шпионажа в Windows-компьютеры Министерства иностранных дел одного из правительств Юго-Восточной Азии. Следы ведут в Китай, передает Хроника.инфо со ссылкой на 24 Канал.

Атака начиналась с сообщений для целевого фишинга, которые приходили якобы от адресатов из госаппарата. При попытке жертвы открыть документы, имеющие официальный вид, загружались шаблоны .RTF, инфицированные с помощью инструментария Royal Road.

Как осуществляли атаку

Популярный среди китайских киберпреступных группировок, Royal Road эксплуатирует уязвимости редактора уравнений Microsoft Word:

  • CVE-2017-11882,
  • CVE-2018-0798,
  • CVE-2018-0802.

Встроенный в RTF-файл скрипт создает отложенную задачу Windows Update и выполняет другие действия. Кроме того, он отсылает предварительную информацию о жертве на командный сервер. Если ее сочтут интересной, начинается второй этап атаки, на котором загружается бэкдор оригинальной разработки под внутренним именем VictoryDll_x86.dll.

Это ПО способно выполнять множество функций, ориентированных на шпионаж:

  • чтение/запись/удаление файлов,
  • запуск команд через cmd.exe,
  • захват экрана,
  • создание/завершение процессов,
  • получение имен окон верхнего уровня, ключей реестра, содержимого таблиц UDP/TCP, подробной информации о пользователе и компьютере,
  • и даже отключение ПК.

Добытые сведения переправляются на командный сервер американского провайдера, начальные же этапы кибератаки координируют серверы, которые находятся в Гонконге и в Малайзии.

Читайте также: В Минздраве объяснили, как получить вторую дозу вакцины от коронавируса

Злоумышленников интересуют не только холодные данные, но и то, что происходит на персональном компьютере цели в любой момент. Хотя мы смогли заблокировать описанную операцию слежения за властями страны в Юго-Восточной Азии, вполне возможно, что преступная группа использует свое новое оружие кибершпионажа против других целей по всему миру,
– комментирует глава Службы аналитики угроз в CPR, Лотем Финкельстин.

Похожие статьи

Amazon бросает вызов Temu и Shein: запуск площадки с «безумно низкими» ценами

Взлет и падение 23andMe: история компании генетического тестирования

Теорема бесконечной обезьяны опровергнута