Китайские хакеры нацелились на правительства Узбекистана и Южной Кореи

Китайские хакеры нацелились на правительства Узбекистана и Южной Кореи. Источник: Therecord

В последней кампании, выявленной исследователями Cisco Talos, китайские злоумышленники начал атаковать цели в августе.

Читайте также: Пропалестинская хакерская группа шпионит за правительствами Ближнего Востока в условиях войны

Исследователи заявили, что обнаружили четыре образца, использованных в рамках кампании, в том числе один, отправленный пользователям в Министерстве иностранных дел Узбекистана. При открытии образца выпадает подставной документ якобы об инвестиционном проекте, а содержание — об указе президента о техническом регулировании.

В документе-ловушке использовался контент, опубликованный в нескольких источниках в Узбекистане в 2021 году, в качестве приманки, чтобы заставить людей открыть его, и исследователи полагают, что первоначальный вектор атаки включал фишинговое электронное письмо с прикрепленным вредоносным файлом RAR.

Исследователи обнаружили еще три документа, использованных в качестве приманки, написанных на корейском языке.

Они полагают, что хакер, стоящий за кампанией, базируется в Китае или говорит по-китайски, поскольку два из использованных файлов-ловушек в последний раз были изменены именами, написанными на упрощенном китайском языке.

Читайте также: Китайские хакеры атаковали правительство Филиппин

Cisco Talos добавила, что китайские злоумышленники уже много лет используют версии вредоносного ПО Gh0st RAT и имеют опыт атак на организации и людей в Узбекистане. Gh0st RAT, по данным Cisco Talos, был создан китайской группой, а его исходный код был обнародован в 2008 году.

В настоящее время существует несколько вариантов вредоносного ПО, которое используется китайскими хакерами для шпионских атак.

SugarGh0st настроен так, чтобы предоставить хакерам более широкие возможности разведки, включая возможность поиска определенных ключей, расширений файлов и многого другого. Это также позволяет хакерам предоставлять индивидуальные команды и уклоняться от обнаружения.

SugarGh0st может собирать имя хоста компьютера жертвы, файловую систему, логический диск и информацию об операционной системе. Он может получить доступ к информации о запущенном процессе на компьютере жертвы и управлять средой, получая доступ к информации о процессе и завершая процесс по указанию сервера C2. Он также может управлять диспетчером служб машины, получая доступ к файлам конфигурации запущенных служб, а также запускать, прекращать или удалять службы.

Исследователи Cisco Talos обнаружили, что вредоносное ПО позволяет хакерам получить доступ к камере компьютера жертвы, чтобы сделать снимок экрана и выполнить различные файловые операции, включая поиск, копирование, перемещение и удаление файлов на компьютере жертвы.

Напомним, ранее австралийская разведка назвала Китай главным спонсором киберпреступности.

#кибератака #Китай #Узбекистан #хакер #Южная Корея

Только главные новости в нашем Telegram, Facebook и GoogleNews!