Китайските киберпрестъпници прекараха три години, създавайки нова задна врата, за да шпионират правителствата

Нова задна врата, използвана в продължаващите кампании за кибершпионаж, е свързана с китайски участници в заплахата.

В четвъртък, Check Point Research (CPR) каза това задната врата е проектирана, разработена, тествана и внедрена през последните три години, за да компрометира системите на Министерството на външните работи на правителството на Югоизточна Азия.

Веригата за заразяване на злонамерен софтуер, базирана на Windows, започна с фишинг съобщения, представяйки се за други отдели в същото правителство, в които членовете на персонала бяха насочени към оръжия, официално изглеждащи документи, изпратени по имейл.

Ако жертвите отворят файловете, изтеглят се отдалечени .RTF шаблони и версия на Кралски път, RTF оръжител, е внедрен.

Инструментът работи, като използва набор от уязвимости в редактора на уравнения на Microsoft Word (CVE-2017-11882, CVE-2018-0798, и CVE-2018-0802).

CPR казва, че Royal Road е „особено популярен сред китайците [advanced persistent threat] APT групи. ”

Документът RTF съдържа черупков код и криптиран полезен товар, предназначен да създаде планирана задача и да стартира техники за анти-пясъчно сканиране за сканиране на времето, както и изтеглящ файл за крайната задна врата.

Наречен “VictoryDll_x86.dll”, задната вратичка е разработена, за да съдържа редица функции, подходящи за шпиониране и дефилтриране на данни към командно-контролен сървър (C2).

Те включват четене / запис и изтриване на файлове; събиране на OS, процес, ключ на регистъра и информация за услуги, възможност за изпълнение на команди през cmd.exe, извличане на екрана, създаване или прекратяване на процеси, получаване на заглавия на прозорци от най-високо ниво и опция за затваряне на компютри.

Задната вратичка се свързва с C2, за да предава откраднати данни и този сървър може също да се използва за извличане и изпълнение на допълнителни полезни товари от злонамерен софтуер. Първият етап C2 се хоства в Хонг Конг и Малайзия, докато бекдор сървърът C2 се хоства от американски доставчик.

CPR вярва, че е възможно бекдорът да е дело на китайските участници в заплахата поради ограничения оперативен график – 1:00 ч. – 8,00 ч. UTC – използването на Royal Road и поради тестовите версии на бекдора, качени на VirusTotal през 2018 г., който съдържаше проверки за свързване с уеб адреса на Baidu.

„Научихме, че нападателите се интересуват не само от студени данни, но и от това, което се случва на личния компютър на целта във всеки един момент, което води до шпионаж на живо“, коментира Лотем Финкелстийн, ръководител на разузнаването на заплахите в CPR. “Въпреки че успяхме да блокираме операцията за наблюдение на описаното правителство на Югоизточна Азия, възможно е групата на заплахата да използва новото си оръжие за кибершпионаж върху други цели по света.”

Предишно и свързано покритие


Имате съвет? Свържете се сигурно чрез WhatsApp | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com