изображение: recraft
Команда экспертов Kaspersky ICS CERT выявила серию кибернападений, направленных на предприятия промышленного сектора в странах Азиатско-Тихоокеанского региона. Для сокрытия зловредных компонентов и конфигураций атакующие обратились к популярным в Китае облачным платформам — сеть доставки контента myqcloud и сервис для создания и хранения заметок Youdao Cloud Notes стали удобной площадкой для размещения вредоносной инфраструктуры.
При этом была использована сложная цепочка загрузки, затрудняющая выявление угрозы средствами информационной безопасности.
Злоумышленники задействовали целый набор методов для маскировки своей деятельности: использовали в открытом доступе упаковщики для шифровки вредоносных файлов, регулярно меняли адреса управляющих серверов, задействовали функции легитимного программного обеспечения для запуска вредоносных процессов и прибегали к технике подгрузки сторонних библиотек DLL-sideloading, чтобы избежать внимания защитных систем.
Анализ цифровых артефактов позволил установить параллели с более ранними атаками, где применялись программы удалённого доступа с открытым кодом. Среди них – Gh0st RAT, SimayRAT, Zegost и FatalRAT. На этот раз наблюдается изменение в манере действий: атакующие переосмыслили свою тактику, сфокусировавшись на аудитории, использующей китайский язык, и адаптировали инструменты под новые цели.
Youdao представляет собой китайскую поисковую систему, а сервис Cloud Notes (в прошлом – Dao Notes) служит площадкой для хранения заметок и организации коллективной работы. Сервис начал свою работу 28 июня 2011 года и доступен в виде десктопных приложений для Windows и macOS, мобильных версий для Android и iOS, а также через веб-интерфейс. Совместимость с популярными платформами и интуитивный интерфейс сделали его привлекательным для киберпреступников, которые всё чаще обращаются к нему при организации атак.
Во время исследования специалисты провели мониторинг сайтов, связанных с платформой Youdao Cloud Notes, в отношении которых в последнее время поступали жалобы на подозрительную активность. По результатам анализа было выявлено, что множество злоумышленников активно используют этот ресурс для реализации своих планов.
Полный отчёт доступен по ссылке.
Оригинал публикации на сайте CISOCLUB: "Операция SalmonSlalom".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
