Группа китайских хакеров, специализирующихся на кибершпионаже, организовала атаку на военные ведомства и аэрокосмические организации в странах СНГ.
В рамках киберкампании, обнаруженной экспертами Proofpoint в июле прошлого года, хакеры пользовались вредоносными программами NetTraveler (TravNet) и PlugX. Примерно тогда же группа начала работать с новым загрузчиком ZeroT и chm-файлами (Compressed HTML Help) для доставки PlugX.
Злоумышленники организовали рассылку chm-файла, содержащего htm-документ и исполняемый файл. При открытии справки на экране появляется UAC-уведомление о запуске неизвестной программы на русском языке. В случае согласия пользователя произойдет загрузка ZeroT на компьютер.
Для того, чтобы распространять загрузчик, хакеры также пользуются rar-архивами и документами Microsoft Word, сформированными специальным образом. В составе многих архивов присутствует исполняемый файл Go.exe, который задействует утилиту Event Viewer для того, чтобы обходить UAC в Windows.
При проникновении в систему ZeroT выходит на связь с командным сервером и пересылает данные об инфицированном компьютере. Затем ZeroT осуществляет загрузку троянской программы PlugX или в виде незашифрованного PE-файла, или в виде bmp-файла, использующего стеганографию для маскировки вредоносного программного обеспечения.