Новый троян атакует коммерческие организации КНР

image

Теги: троян, Китай, кибератака

Вредоносная кампания продолжается на протяжении трех лет.

ИБ-исследователи из компании RSA обнаружили новый троян удаленного доступа, который получил название GlassRAT. Согласно данным экспертов, вредонос оставался незамеченным в течение трех лет. Злоумышленники использовали GlassRAT в кампании, направленной на коммерческие организации и граждан КНР.

По словам исследователей, вирусописатели проделали довольно трудную работу. «Троян использует скомпрометированный сертификат безопасности, выданный проверенным и известным поставщиком. Вредонос удаляет себя после успешной реализации полезной нагрузки. После установки вредоносный файл DLL сохраняется вне зоне доступа антивирусных программ», - отметили эксперты.

Исследователи также отмечают, что С&C-структура, которую использует GlassRAT схожа на ту, что применялась во вредоносной кампании в 2012 году, направленной на правительственные и военные организации, расположенные в Тихоокеанском регионе.

GlassRAT связан с С&C-структурой вредоносного ПО Mirage, которая, в свою очередь, имеет отношение к вредоносам Magicfire, PlugX и Mirage. Последние использовались в атаках на военные организации на Филиппинах и правительство Монголии. Однако, по словам экспертов, недавно обнаруженная вредоносная кампания отличатся от той, которая проводилась в 2012 году. Разница состоит в продолжительности операции хакеров, а также в целях атак. Возможно и то, что организаторы кампаний одни и те же, просто занимаются ими разные подразделения.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.