Группировка Scarlet Mimic шпионит за активистами КНР и сотрудниками российских ведомств

image

Теги: шпионаж, хакеры, Китай, троян, шифрование

В ходе операций используется троян FakeM, маскирующийся под протоколы обмена мгновенными сообщениями.

Исследователи из Palo Alto Network сообщили подробности о шпионской кампании, осуществляемой хакерской группировкой Scarlet Mimic. Участники группы уже четыре года следят за активистами, выступающими в защиту прав тибетских и уйгурских меньшинств в Китае, а также за сотрудниками правительственных ведомств России и Индии. В настоящее время у экспертов Palo Alto Network нет доказательств связи группировки с китайским правительством.

В ходе операций злоумышленники используют троян FakeM, маскирующийся под протоколы обмена мгновенными сообщениями - Windows Live Messenger или Yahoo Messenger. Вредонос способен получить удаленный доступ к системе и предоставляет злоумышленникам доступ к папкам на компьютере жертвы. Кроме прочего, троян может делать скриншоты, а также управлять web-камерой и микрофоном.

По словам экспертов, участники Scarlet Mimic создали несколько модификаций вредоноса. Один из вариантов использует протокол SSL для шифрования коммуникаций с C&C-сервером. Помимо FakeM, в арсенале группировки присутствуют троян CallMe, предназначенный для эксплуатации уязвимостей в ОС Mac OS X, а также Psylo – загрузчик, созданный на базе вредоноса MobileOrder. Последний представляет собой вредоносное ПО, разработанное для компрометации Android-устройств.

Как полагают исследователи, наличие столь разношерстного вредоносного ПО свидетельствует о намерении группировки расширить кампанию по шпионажу не только на пользователей ПК, но и владельцев мобильных гаджетов. Заражение устройств осуществляется посредством фишинговых писем с прикрепленными вредоносными документами. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.