Китайская кибершпионская группа Cycldek совершенствует свои техники

Китайская кибершпионская группа Cycldek совершенствует свои техники

В 2020-2021 годах Cycldek атаковала правительственные и военные организации в странах Юго-Восточной Азии.

Китайская кибершпионская группировка Cycldek продемонстрировала усовершенствованные техники атаки в недавней вредоносной кампании против правительственных и военных организаций Вьетнама.

Активная как минимум с 2013 года группировка Cycldek (другие названия Goblin Panda и Conimes) известна своими кибератаками на правительства стран Юго-Восточной Азии, в особенности Вьетнама. В июне прошлого года она была замечена в использовании специально созданного вредоносного ПО для похищения данных с физически изолированных компьютеров. В недавней волне атак Cycldek продемонстрировала еще большее совершенствование своих навыков, сообщается в новом отчете «Лаборатории Касперского».

Проводимая с июня 2020-го по январь 2021 года вредоносная кампания полагалась на цепочку заражения с использованием загрузки DLL по сторонним каналам для доставки на систему вредоносного кода, который в итоге развертывал троян для удаленного доступа (RAT), предоставлявший хакерам полный контроль над компьютером.

В ходе атак на вьетнамские организации злоумышленники использовали легитимный компонент Microsoft Outlook для загрузки DLL, загружавшей shell-код, играющий роль загрузчика трояна FoundCore RAT. После развертывания вредонос запускал четыре процесса: один – для получения персистентности на системе в роли сервиса, второй – для сокрытия первого процесса, третий – для предотвращения доступа к вредоносному файлу и четвертый – для установки связи с C&C-сервером.

FoundCore RAT предоставляет злоумышленникам полный контроль над атакуемой системой. Вредонос поддерживает множество разнообразных команд, позволяя манипулировать файловой системой и процессами, выполнять произвольные команды, делать скриншоты и пр. Кроме того, в ходе атак хакеры использовали вредоносное ПОDropPhone и CoreLoader.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!