Китайские APT-группы маскируют шпионаж под вымогательскую атаку
Группировки используют приманки для удаленного доступа к устройству
Две китайские хакерские группы, занимающиеся кибершпионажем и крадущие интеллектуальную собственность японских и западных компаний, используют программы-вымогатели в качестве приманки для сокрытия своих злонамеренных действий.
Согласно исследованию Secureworks , две группировки Bronze Riverside (APT41) и Bronze Starlight (APT10) использовали HUI Loader для развертывания троянов удаленного доступа ( Remote Access Trojans, RAT ) PlugX , Cobalt Strike и QuasarRAT .
В своих кампаниях хакеры использовали новую версию HUI Loader, которая способна перехватывать вызовы Windows API и отключать функции Event Tracing for Windows (ETW) и Antimalware Scan Interface (AMSI).
Кроме того, Bronze Starlight может создавать временные штаммы вымогательского ПО, чтобы маскировать свою кампанию кибершпионажа под атаку программы-вымогателя, уменьшая шансы обнаружения
Эксперты Securework порекомендовали специалистам установить надежные механизмы обнаружения и защиту от программ-вымогателей, а также тщательно проверять все системы после очистки.
Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!