Китайские хакеры, связанные с APT-группировками APT31 и APT27, провели серию целенаправленных кибератак, начавшуюся в конце июля 2024 года, которая была направлена против нескольких десятков систем, применяемых в российских государственных структурах и компаниях, работающих в сфере информационных технологий. Об этом накануне рассказали эксперты «Лаборатории Касперского».
По словам аналитиков из «Лаборатории Касперского», соответствующая киберпреступная кампания была названа EastWind. Уточняется, что в ходе расследования инцидентов информационной безопасности, за которые ответственны хакерские группировки APT31 и APT27, выяснилось, что в процессе атак применяется обновлённая версия вредоносного программного обеспечения CloudSorcerer. Этот вредонос был обнаружен в аналогичной кампании по кибершпионажу в мае 2024 года, также нацеленной на российские государственные структуры.
Следует отметить, что деятельность хакерских групп APT31 и APT27 с применением бэкдора CloudSorcerer не ограничивается Россией. Компания по кибербезопасности Proofpoint зафиксировала атаку с применением этого вредоноса, направленную на аналитический центр в США в мае 2024 года.
Первоначальное заражение происходит с помощью фишинговых писем, содержащих вложения в виде архивов RAR, названных по имени цели, которые используют стороннюю загрузку DLL для внедрения бэкдора в систему из Dropbox при открытии документа.
Бэкдор может перемещаться по файловой системе, выполнять команды, извлекать данные или внедрять дополнительные полезные нагрузки на скомпрометированную машину.
Наблюдения «Лаборатории Касперского» показывают, что злоумышленники использовали бэкдор для внедрения трояна под названием GrewApacha, который связан с группировкой APT31.
Последняя версия GrewApacha отличается некоторыми улучшениями по сравнению с проанализированной версией 2023 года, в том числе использованием двух командных серверов вместо одного и сохранением их адресов в закодированной по алгоритму base64 строке в профилях GitHub, откуда вредоносная программа их считывает.
Оригинал публикации на сайте CISOCLUB: "Китайских хакеров обвинили в атаках на российский госсектор и ИТ-компании".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
