Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Китайские хакеры нацелились на европейские дипломатические учреждения

4
1 мин
Китайская киберпреступная группировка TA413, ранее связанная с вредоносным ПО ExileRAT и LackyCat и активная в течение последнего десятилетия, нацелилась на дипломатические органы в Европе и Тибет. Соответствующее исследование было проведено специалистами по информационной безопасности компании Proofpoint. Эксперты обнаружили связь между кибератаками на тему COVID-19, когда хакеры из группировки TA413 выдавали себя за представителей Всемирной организации здравоохранения, и недавно зафиксированными атаками на законодательные и дипломатические органы в Европе, а также на тибетское сообщество. Во время проведения кибератак использовалось различное вредоносное ПО – традиционные ExileRAT иLackyCat, а также новый вредонос Sepulcher. ИБ-эксперты подозревают во всех совершенных кибератаках именно группировку TA413, потому что во время июльской хакерской кампании, нацеленной на тибетских диссидентов, киберпреступники пытались доставить вредоносное ПО Sepulcher из той же инфраструктуры и с ис

Китайская киберпреступная группировка TA413, ранее связанная с вредоносным ПО ExileRAT и LackyCat и активная в течение последнего десятилетия, нацелилась на дипломатические органы в Европе и Тибет.

Соответствующее исследование было проведено специалистами по информационной безопасности компании Proofpoint. Эксперты обнаружили связь между кибератаками на тему COVID-19, когда хакеры из группировки TA413 выдавали себя за представителей Всемирной организации здравоохранения, и недавно зафиксированными атаками на законодательные и дипломатические органы в Европе, а также на тибетское сообщество. Во время проведения кибератак использовалось различное вредоносное ПО – традиционные ExileRAT иLackyCat, а также новый вредонос Sepulcher.

ИБ-эксперты подозревают во всех совершенных кибератаках именно группировку TA413, потому что во время июльской хакерской кампании, нацеленной на тибетских диссидентов, киберпреступники пытались доставить вредоносное ПО Sepulcher из той же инфраструктуры и с использованием тех же email-адресов, которые ранее использовались для доставки ExileRAT.

В результатах исследования компании Proofpoint сказано следующее: «Несмотря на то, что эта группировкаTA413, наиболее известная своими кампаниями против тибетской диаспоры и связью с китайскими властями, она также уделяла приоритетное внимание сбору разведывательной информации о западных экономиках, страдающих от COVID-19 в марте 2020 года, прежде чем возобновить более традиционные для нее кибератаки в конце этого года».

Новая вредоносная программа Sepulcher группировкиTA413 может проводить разведку на зараженном хосте, имеет поддержку обратной командной оболочки, а также чтения и записи из/в файл. На основе полученных команд вредонос может собирать информацию о дисках, файлах, каталогах, запущенных процессах и службах, может управлять каталогами и файлами, перемещать источник файла в место назначения, завершать процессы, перезапускать и удалять службы и многое другое.

Как выяснили специалисты Proofpoint, хакерская кампания, нацеленная на европейские дипломатические и законодательные органы, экономические и некоммерческие организации, попыталась использовать уязвимость Microsoft Equation Editor для доставки ранее не идентифицированного вредоносного ПО Sepulcher.