Исследователи из Google Threat Intelligence Group (GTIG) обнаружили новую кампанию китайских хакеров, где был применён инновационный метод сокрытия вредоносного кода под названием ScatterBrain. Этот инструмент, являющийся усовершенствованием предыдущей разработки ScatterBee, позволяет вирусам оставаться незамеченными значительно дольше.
Ключевым элементом обнаруженной атаки является вредоносный модуль POISONPLUG.SHADOW, который, как предполагается, используется исключительно группировкой APT41. Новый инструмент маскировки усложняет работу специалистов по информационной безопасности, делая анализ вредоносного ПО практически невозможным.
ScatterBrain работает в нескольких режимах: выборочная защита отдельных функций, полная обфускация всего кода или наиболее сложный вариант — полное сокрытие заголовков файлов и шифрование данных. Это затрудняет как статическое изучение программы, так и её динамический анализ.