По информации компании Check Point, как минимум два научно-исследовательских института в России и третий «вероятный объект» в Беларуси стали жертвами шпионских атак китайской группировки Twisted Panda, которую связывают с другими китайскими злоумышленниками, включая группировки Stone Panda (она же APT 10, Cicada или Potassium) и Mustang Panda (она же Bronze President).
Исследователи пишут, что обнаружили эту длительную шпионскую операцию, направленную против связанных с Россией организаций.
Эта вредоносная кампания активна как минимум с июня 2021 года, а последние следы деятельности хакеров были обнаружены совсем недавно, в апреле 2022 года. Целями атак Twisted Panda стали два неназванных оборонных научно-исследовательских института, имеющих отношение к госкорпорации Ростех, а также неизвестная компания из Минска.
Атаки начинались с фишинговых писем, содержащих ссылку, замаскированную под сайт Минздрав России, а в теме писем хакеры злоупотребляли вопросом вторжения России в Украину.
На самом деле такие ссылки вели на домен, контролируемый злоумышленником, к фейковому документу Microsoft Word, который предназначался для запуска развертывания загрузчика.
Затем на машину жертвы доставлялась библиотека DLL (cmpbk32.dll), которая обеспечивала малвари постоянное присутствие в системе (с помощью запланированного задания), а также отвечала за выполнение многоуровневого загрузчика второго этапа, который впоследствии распаковывался для доставки финальной полезной нагрузки. Сам внедренный пейлоад представлял собой ранее недокументированный бэкдор Spinner. По словам специалистов, он использует сложные методы, включая control flow flattening, чтобы скрыть свою активность.
Ранее такие методы в своих атаках применяли уже упомянутые группировки Stone Panda и Mustang Panda.
«[Изученные нами] инструменты находятся в разработке как минимум с марта 2021 года и используют передовые методы уклонения и антианализа», — сообщают в Check Point.
При этом, невзирая на сложную структуру кода, Spinner представляет собой базовый вредонос, который используется только для учета скомпрометированных хостов и запуска дополнительных пейлоадов, полученных с удаленного сервера.
Check Point отмечает, что расследование выявило и более ранний вариант этого бэкдора, который распространяется аналогичным образом. Именно этот факт указывает на то, что кампания активна с июня 2021 года (основываясь на времени компиляции исполняемых файлов).
Ранее сообщалось, что китайские хакеры подключились к атакам на госструктуры России.
Как сообщал Guildhall, хакеры взломали крупнейшего российского поставщика гидравлики для нефтегазовой отрасли.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet