Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Китайские хакеры нацелили свои атаки на Южную Корею и Узбекистан

26
1 мин
Специалисты по информационной безопасности компании Cisco Talos сообщили, что они выявили опасную киберпреступную кампанию, которая приписывается китайским хакерам неизвестной группы. Эта операция злоумышленников нацелена на государственные учреждения в Узбекистане и Южной Корее, как сообщает издание The Hacker News. Эксперты по информационной безопасности Cisco Talos рассказали, что китайские хакеры в рамках этой киберпреступной кампании активно используют вредоносное ПО SugarGh0st RAT, которое выступает в качестве трояна удалённого доступа. Уточняется, что хакеры атакуют узбекские и южнокорейские государственные учреждения в рамках этой киберпреступной кампании примерно с августа 2023 года. В своих атаках они применяют две разные последовательности заражения для доставки вредоносного ПО в целевые системы. Как отмечается, злоумышленники используют модифицированные варианты достаточно известного вредоносного ПО, известного под названием Gh0st RAT. Поставка этого вредоносного ПО осущест
Изображение: Yan Ke (unsplash)
Изображение: Yan Ke (unsplash)

Специалисты по информационной безопасности компании Cisco Talos сообщили, что они выявили опасную киберпреступную кампанию, которая приписывается китайским хакерам неизвестной группы. Эта операция злоумышленников нацелена на государственные учреждения в Узбекистане и Южной Корее, как сообщает издание The Hacker News.

Эксперты по информационной безопасности Cisco Talos рассказали, что китайские хакеры в рамках этой киберпреступной кампании активно используют вредоносное ПО SugarGh0st RAT, которое выступает в качестве трояна удалённого доступа.

Уточняется, что хакеры атакуют узбекские и южнокорейские государственные учреждения в рамках этой киберпреступной кампании примерно с августа 2023 года. В своих атаках они применяют две разные последовательности заражения для доставки вредоносного ПО в целевые системы. Как отмечается, злоумышленники используют модифицированные варианты достаточно известного вредоносного ПО, известного под названием Gh0st RAT.

Поставка этого вредоносного ПО осуществляется с интегрированным в него функционалом, который облегчает задачи дистанционного администрирования в соответствии с указанием сервера контроля злоумышленников, а также с модифицированным протоколом связи, который базируется на сходстве и структуре команд и строк, используемых в коде.

На первоначальном этапе хакеры рассылают фишинговые электронные письма, к которым прикреплены вредоносные документы разных форматов. В том случае, если пользователь запускает этот документ из фишингового письма, начинается многоэтапный процесс, в итоге приводящий к развёртыванию вредоносного ПО SugarGh0st RAT на скомпрометированном устройстве.

Интересно, что при открытии прикреплённого к фишинговому письму документа пользователь видит настоящий документ в формате DOCX или PDF, в котором приведена некая официальная юридическая информация. Пока пользователь просматривает этот документ, в фоновом режиме происходит запуск загрузчика, который подгружает модифицированную версию легального исполняемого файла Windows под названием rundll32.exe для расшифровки и запуска дальнейшей полезной нагрузки SugarGh0st RAT.

Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.