Исследователи в области безопасности выявили новые виды кибершпионажа, направленные против правительственных организаций в Азии, а также государственных аэрокосмических и оборонных компаний, телекоммуникационных компаний и ИТ-организаций.
Группа угроз, стоящая за этой активностью, представляет собой отдельный кластер, ранее связанный с RAT «ShadowPad» (троян удаленного доступа). В недавних кампаниях злоумышленник использовал гораздо более разнообразный набор инструментов.
Согласно отчету команды Symantec Threat Hunter, в котором подробно рассказывается об этой деятельности, атаки по сбору разведывательных данных осуществляются как минимум с начала 2021 года и продолжаются до сих пор.
Текущая кампания, по-видимому, почти полностью сосредоточена на правительстве или общественных организациях в Азии, в том числе:
🔺Глава правительства/аппарат премьер-министра;
🔺Государственные учреждения, связанные с финансами;
🔺Государственные аэрокосмические и оборонные компании;
🔺Государственные телекоммуникационные компании;
🔺Государственные ИТ-организации;
🔺Государственные медиакомпании.
Symantec представляет пример атаки, развернувшейся в апреле 2022 года, чтобы продемонстрировать, как шпионская группа компрометирует свои правительственные цели.
Атака начинается с внедрения вредоносной DLL, которая загружается сбоку путем запуска исполняемого файла законного приложения для загрузки файла .dat.
В этом случае законным приложением, которым злоупотребляли хакеры, был исполняемый файл Bitdefender Crash Handler 11-летней давности.
Начальная полезная нагрузка .dat содержит зашифрованный шеллкод, который можно использовать для выполнения команд или дополнительных полезных данных непосредственно из памяти.