Хакеры атакуют военные ведомства и аэрокосмические организации в СНГ

Хакеры атакуют военные ведомства и аэрокосмические организации в СНГ

Китайские хакеры используют загрузчик ZeroT и CHM-файлы для доставки RAT PlugX.

image

Китайская хакерская группировка, специализирующаяся на кибершпионаже, атакует военные и аэрокосмические организации в России и соседних странах. В кампании, зафиксированной экспертами компании Proofpoint в июле 2016 года, злоумышленники использовали вредоносное ПО NetTraveler (также известно как TravNet) и троян удаленного доступа PlugX. Примерно в то же время группировка начала применять новый загрузчик ZeroT и файлы в формате .chm (Compressed HTML Help) для доставки PlugX.

Атакующие рассылают жертвам CHM-файл, содержащий файл HTM и исполняемый файл. После открытия справки на экране отображается русскоязычное уведомление UAC (Контроль учетных записей) о запуске «неизвестной программы». Если пользователь согласится, на компьютер будет загружен ZeroT.

Для распространения загрузчика группировка также использует специально сформированные документы Microsoft Word и самораспаковывающиеся RAR-архивы. Значительная часть этих архивов включала исполняемый файл Go.exe, использующий инструмент Event Viewer («Просмотр событий») для обхода UAC в Windows.

Оказавшись на системе, ZeroT связывается с управляющим сервером и отправляет информацию о зараженной системе. Далее ZeroT загружает троян PlugX либо в виде незашифрованного PE-файла, либо в виде Bitmap (.bmp) файла, использующего стеганографию для сокрытия вредоносного ПО.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle