В конце июля 2024 года российские правительственные структуры и IT-компании стали жертвами серии кибератак, за которыми, согласно данным «Лаборатории Касперского», стоят китайские хакеры из группировок APT31 и APT27.
Операция «EastWind»
Атаки, получившие кодовое название «EastWind», используют обновленную версию вредоносного ПО, известного как CloudSorcerer. Этот бэкдор уже проявлял себя в аналогичных атаках на российские государственные структуры в мае 2024 года.
Вредоносное ПО распространяется через фишинговые письма. Как только вирус проникает на компьютер, хакеры получают возможность удаленно управлять системой, выполнять команды, извлекать данные и устанавливать другие вредоносные программы.
Новые угрозы и развитие тактики
В рамках текущей кампании был задействован троян GrewApacha, который связывают с группировкой APT31. Новая версия трояна значительно усложнила защиту: она использует два командных сервера, адреса которых зашифрованы и размещены в публичных профилях на GitHub. Этот метод усложняет обнаружение и блокировку вредоносного ПО.
Также стоит отметить, что CloudSorcerer теперь использует уникальные ключи, привязанные к конкретным системам, что делает его бесполезным на других устройствах. Для получения командных серверов вирус теперь обращается не только к GitHub, но и к таким платформам, как Quora и LiveJournal.
PlugY новый инструмент кибершпионажа
Дополнительным элементом атаки стал новый бэкдор под названием PlugY, который может выполнять широкий спектр функций, включая захват экрана и запись нажатий клавиш. Этот вирус уже использовался в атаках APT27, что может указывать на возможное сотрудничество между двумя хакерскими группировками.
Эти атаки демонстрируют, насколько сложными и многоуровневыми могут быть киберугрозы, даже между странами, которые поддерживают дружеские дипломатические отношения.
The post Китайские хакеры атакуют Россию. Правительственные и IT-организации под угрозой appeared first on Сервисный центр Volt-PC.