Китайская кибершпионская группа Cycldek совершенствует свои техники

Китайская кибершпионская группа Cycldek совершенствует свои техники

В 2020-2021 годах Cycldek атаковала правительственные и военные организации в странах Юго-Восточной Азии.

image

Китайская кибершпионская группировка Cycldek продемонстрировала усовершенствованные техники атаки в недавней вредоносной кампании против правительственных и военных организаций Вьетнама.

Активная как минимум с 2013 года группировка Cycldek (другие названия Goblin Panda и Conimes) известна своими кибератаками на правительства стран Юго-Восточной Азии, в особенности Вьетнама. В июне прошлого года она была замечена в использовании специально созданного вредоносного ПО для похищения данных с физически изолированных компьютеров. В недавней волне атак Cycldek продемонстрировала еще большее совершенствование своих навыков, сообщается в новом отчете «Лаборатории Касперского».

Проводимая с июня 2020-го по январь 2021 года вредоносная кампания полагалась на цепочку заражения с использованием загрузки DLL по сторонним каналам для доставки на систему вредоносного кода, который в итоге развертывал троян для удаленного доступа (RAT), предоставлявший хакерам полный контроль над компьютером.

В ходе атак на вьетнамские организации злоумышленники использовали легитимный компонент Microsoft Outlook для загрузки DLL, загружавшей shell-код, играющий роль загрузчика трояна FoundCore RAT. После развертывания вредонос запускал четыре процесса: один – для получения персистентности на системе в роли сервиса, второй – для сокрытия первого процесса, третий – для предотвращения доступа к вредоносному файлу и четвертый – для установки связи с C&C-сервером.

FoundCore RAT предоставляет злоумышленникам полный контроль над атакуемой системой. Вредонос поддерживает множество разнообразных команд, позволяя манипулировать файловой системой и процессами, выполнять произвольные команды, делать скриншоты и пр. Кроме того, в ходе атак хакеры использовали вредоносное ПОDropPhone и CoreLoader.


Биометрическую идентификацию легко обойти с помощью deepfake, доступ к данным пользователей хакерских форумов могли получить спецслужбы, а также розыгрыш уникальной хакерской настольной игры и билета на PhDays в 11 выпуске на нашем Youtube канале.