Китайские хакеры нацелились на европейские дипломатические учреждения

Дата: 03.09.2020. Автор: Артем П. Категории: Новости по информационной безопасности

Китайская киберпреступная группировка TA413, ранее связанная с вредоносным ПО ExileRAT и LackyCat и активная в течение последнего десятилетия, нацелилась на дипломатические органы в Европе и Тибет.

Соответствующее исследование было проведено специалистами по информационной безопасности компании Proofpoint. Эксперты обнаружили связь между кибератаками на тему COVID-19, когда хакеры из группировки TA413 выдавали себя за представителей Всемирной организации здравоохранения, и недавно зафиксированными атаками на законодательные и дипломатические органы в Европе, а также на тибетское сообщество. Во время проведения кибератак использовалось различное вредоносное ПО – традиционные ExileRAT иLackyCat, а также новый вредонос Sepulcher.

ИБ-эксперты подозревают во всех совершенных кибератаках именно группировку TA413, потому что во время июльской хакерской кампании, нацеленной на тибетских диссидентов, киберпреступники пытались доставить вредоносное ПО Sepulcher из той же инфраструктуры и с использованием тех же email-адресов, которые ранее использовались для доставки ExileRAT.

В результатах исследования компании Proofpoint сказано следующее: «Несмотря на то, что эта группировкаTA413, наиболее известная своими кампаниями против тибетской диаспоры и связью с китайскими властями, она также уделяла приоритетное внимание сбору разведывательной информации о западных экономиках, страдающих от COVID-19 в марте 2020 года, прежде чем возобновить более традиционные для нее кибератаки в конце этого года».

Новая вредоносная программа Sepulcher группировкиTA413 может проводить разведку на зараженном хосте, имеет поддержку обратной командной оболочки, а также чтения и записи из/в файл. На основе полученных команд вредонос может собирать информацию о дисках, файлах, каталогах, запущенных процессах и службах, может управлять каталогами и файлами, перемещать источник файла в место назначения, завершать процессы, перезапускать и удалять службы и многое другое.

Как выяснили специалисты Proofpoint, хакерская кампания, нацеленная на европейские дипломатические и законодательные органы, экономические и некоммерческие организации, попыталась использовать уязвимость Microsoft Equation Editor для доставки ранее не идентифицированного вредоносного ПО Sepulcher.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

шестнадцать − одиннадцать =