IT обозрение


Новости интернета и компьютерных технологий

Китай заподозрили в использовании кибероружия против одной из соседних стран

10 июня
17:54 2021

Возможно, преступная группа использует свое новое оружие кибершпионажа против других целей по всему миру,

Организация Check Point Research (CPR) сообщила о бэкдоре, который совершенствовался в течение последних трех лет и был внедрен с целью шпионажа в Windows-компьютеры Министерства иностранных дел одного из правительств Юго-Восточной Азии. Следы ведут в Китай, передает Хроника.инфо со ссылкой на 24 Канал.

Атака начиналась с сообщений для целевого фишинга, которые приходили якобы от адресатов из госаппарата. При попытке жертвы открыть документы, имеющие официальный вид, загружались шаблоны .RTF, инфицированные с помощью инструментария Royal Road.

Как осуществляли атаку

Популярный среди китайских киберпреступных группировок, Royal Road эксплуатирует уязвимости редактора уравнений Microsoft Word:

  • CVE-2017-11882,
  • CVE-2018-0798,
  • CVE-2018-0802.

Встроенный в RTF-файл скрипт создает отложенную задачу Windows Update и выполняет другие действия. Кроме того, он отсылает предварительную информацию о жертве на командный сервер. Если ее сочтут интересной, начинается второй этап атаки, на котором загружается бэкдор оригинальной разработки под внутренним именем VictoryDll_x86.dll.

Это ПО способно выполнять множество функций, ориентированных на шпионаж:

  • чтение/запись/удаление файлов,
  • запуск команд через cmd.exe,
  • захват экрана,
  • создание/завершение процессов,
  • получение имен окон верхнего уровня, ключей реестра, содержимого таблиц UDP/TCP, подробной информации о пользователе и компьютере,
  • и даже отключение ПК.

Добытые сведения переправляются на командный сервер американского провайдера, начальные же этапы кибератаки координируют серверы, которые находятся в Гонконге и в Малайзии.

Читайте также: В Минздраве объяснили, как получить вторую дозу вакцины от коронавируса

Злоумышленников интересуют не только холодные данные, но и то, что происходит на персональном компьютере цели в любой момент. Хотя мы смогли заблокировать описанную операцию слежения за властями страны в Юго-Восточной Азии, вполне возможно, что преступная группа использует свое новое оружие кибершпионажа против других целей по всему миру,
– комментирует глава Службы аналитики угроз в CPR, Лотем Финкельстин.



Warning: count(): Parameter must be an array or an object that implements Countable in /home/u831963282/domains/itoboz.com/public_html/wp-content/themes/legatus-theme/includes/single/post-tags.php on line 5

Статьи по теме

0 0 голос
Article Rating
Подписаться
Уведомить о
guest
0 Комментарий
Межтекстовые Отзывы
Посмотреть все комментарии

Последние новости

18:24 Yolle Developpement: DDR5 обойдёт по поставкам DDR4 к 2023 году

0 комментариев Читать всю статью