Две прогосударственные хакерские группы из Китая проводят масштабные операции по кибершпионажу, используя для прикрытия вымогательское программное обеспечение. Хакеры активно пользуются загрузчиком HUI Loader, пытаясь добраться до интеллектуальной собственности во время атак на крупные американские и японские компании, сообщают эксперты компании Secureworks.
В исследовании Secureworks говорится о том, что программы-вымогатели для прикрытия используют две известные китайские APT-группы: Bronze Riverside (APT41) и Bronze Starlight (APT10).
При этом во время своих атак они пользуются сразу несколькими видами программ-вымогателей, среди которых LockFile, AtomSilo, Rook, Night Sky и другие. За счет применения загрузчика HUI Loader у китайских хакеров есть сейчас возможность выполнять перехват вызовов Windows API, выключать функции Event Tracing for Windows (ETW) и Antimalware Scan Interface (AMSI).
Хакерская группа Bronze Starlight, по словам экспертов Secureworks, использует вымогательское ПО LockFile при проведении стандартных атак с применением программ-вымогателей. По оценкам исследователей, на сайтах утечек программ-вымогателей AtomSilo, Rook, Night Sky и Pandora в общей сложности насчитываются данные 21 атакованной компании. Причём в Secureworks уверены, что конфиденциальные данные 75% этих организаций представляют серьезный интерес для китайских APT-групп, занимающихся кибершпионажем, учитывая географическое положение компаний-жертв и отраслевые вертикали.
Среди жертв китайских APT-групп: фармацевтические предприятия из США и Бразилии с офисами в Гонконге и Китае, разработчики и изготовители электронных компонентов в Японии и Литве, юридическая фирма из США, а также оборонное и аэрокосмическое предприятие из Индии.
Хакеры из Bronze Starlight компрометируют сети, эксплуатируя уязвимости в устройствах сетевого периметра, в том числе известные ошибки, для которых доступны исправления. Злоумышленники развертывают загрузчик HUI для расшифровки и запуска Cobalt Strike Beacon для управления и контроля. Затем они развертывают программы-вымогатели и извлекают конфиденциальные данные из IT-инфраструктуры жертвы.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.
