Начало статьи ТУТ.
Методология Rancor не изменилась в их последней кампании. Она включает использование поддельных документов-официальных писем, пресс — релизов и опросов-для установки вредоносных программ на машины жертв.
Но группа постоянно меняла свою тактику, методы и процедуры по распространению вредоносных программ. Используя такие подходы как, макросы, JavaScript, известные уязвимости в Microsoft Equation Editor и даже антивирусные программы с вредоносными библиотеками.
Как работает заражение вредоносными программами.
Внедренный на компьютер цели код соединялся с контролируемым злоумышленниками "командным" сервером для загрузки и выполнения основной вредоносной программы.
В целом, в Check Point наблюдали восемь различных волн активности Rancor в течение семи месяцев. Связывая их все вместе, был выявлен почерк и происхождение злоумышленников.
Кто стоит за этим?
Исследователи Check Point говорят, что применение эксплойта в Microsoft Equation Editor (CVE-2018-0798) и тот факт, что командные сервера были доступны только между 01:00 и 08:00 UTC, указывают на группу хакеров китайского происхождения.
Ранее, в июле этого года, фирма специализирующаяся на кибербезопасности Anomali Labs сообщила, что несколько китайских хакеров обновили свои эксплоиты для использования уязвимости Microsoft Equation Editor (EE) CVE-2018-0798.
"Китайские корни атак подтверждаются также наличием в некоторых документах метаданных на китайском языке“, - сообщил источник в Check Point. "К тому же, хакерская группа прекратила свою активность в феврале 2019 года. На февраль выпадают сразу два продолжительных китайских праздника: Китайский Новый год и Весенний фестиваль.
Эти атаки демонстрируют эволюцию стратегий кибератак, собранных китайскими группами хакеров для обеспечения крупномасштабной системы наблюдения не только внутри страны, но и за ее пределами.
Вчерашний отчет Crowdstrike показал, что спонсируемые государством хакеры, работающие на правительство Китая, развернули атаки на самое большое количество отраслевых вертикалей в первой половине 2019 года, включая телекоммуникации, игры, здравоохранение, производство и фармацевтику.
«Мы ожидаем, что группа продолжит развиваться, постоянно меняя свои "тактики, техники и процедуры"(TTPs-Tactics, Technics and Procedures, термин из сферы киберразведки, прим. автора) так же, как это было ранее, а также прилагая новые усилия, для обхода систем безопасности и ухода от обнаружения», - заключили исследователи.
Спасибо за внимание! Поддержите труд автора - подписывайтесь на канал. Ставьте лайк, если понравилась статья! Комментируйте, критикуйте, ведь в споре рождается истина!