Специалисты по информационной безопасности компании Cisco Talos сообщили, что они выявили опасную киберпреступную кампанию, которая приписывается китайским хакерам неизвестной группы. Эта операция злоумышленников нацелена на государственные учреждения в Узбекистане и Южной Корее, как сообщает издание The Hacker News.
Эксперты по информационной безопасности Cisco Talos рассказали, что китайские хакеры в рамках этой киберпреступной кампании активно используют вредоносное ПО SugarGh0st RAT, которое выступает в качестве трояна удалённого доступа.
Уточняется, что хакеры атакуют узбекские и южнокорейские государственные учреждения в рамках этой киберпреступной кампании примерно с августа 2023 года. В своих атаках они применяют две разные последовательности заражения для доставки вредоносного ПО в целевые системы. Как отмечается, злоумышленники используют модифицированные варианты достаточно известного вредоносного ПО, известного под названием Gh0st RAT.
Поставка этого вредоносного ПО осуществляется с интегрированным в него функционалом, который облегчает задачи дистанционного администрирования в соответствии с указанием сервера контроля злоумышленников, а также с модифицированным протоколом связи, который базируется на сходстве и структуре команд и строк, используемых в коде.
На первоначальном этапе хакеры рассылают фишинговые электронные письма, к которым прикреплены вредоносные документы разных форматов. В том случае, если пользователь запускает этот документ из фишингового письма, начинается многоэтапный процесс, в итоге приводящий к развёртыванию вредоносного ПО SugarGh0st RAT на скомпрометированном устройстве.
Интересно, что при открытии прикреплённого к фишинговому письму документа пользователь видит настоящий документ в формате DOCX или PDF, в котором приведена некая официальная юридическая информация. Пока пользователь просматривает этот документ, в фоновом режиме происходит запуск загрузчика, который подгружает модифицированную версию легального исполняемого файла Windows под названием rundll32.exe для расшифровки и запуска дальнейшей полезной нагрузки SugarGh0st RAT.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.