Китайские киберпреступники Earth Longzhi используют новый метод деактивации систем безопасности на целевых компьютерах

Китайские киберпреступники Earth Longzhi используют новый метод деактивации систем безопасности на целевых компьютерах

Тайвань, Тайланд и Филиппины уже стали жертвами атак злоумышленников, следующие в списке — Вьетнам и Индонезия.

image

Исследователи кибербезопасности из Trend Micro обнаружили новую вредоносную кампанию, проводимую группировкой злоумышленников Earth Longzhi, нацеленную на организации из Тайваня, Таиланда, Филиппин и Фиджи.

Кампания использует исполняемый файл Защитника Windows для загрузки вредоносной DLL-библиотеки в ходе BYOVD-атаки, целью которой является отключение продуктов безопасности, установленных на целевом компьютере.

Исследователи также обнаружили, что Earth Longzhi использует новый способ отключения продуктов безопасности методом, который был назван специалистами Trend Micro «Stack Rumbling». Это новый тип DoS-атаки с использованием уязвимостей параметров IFEO в Windows.

В ходе вредоносной операции злоумышленники также устанавливали драйверы в качестве служб уровня ядра с помощью удалённого вызова процедур Microsoft (Remote Procedure Call, RPC) вместо использования традиционных API-интерфейсов Windows.

«Это довольно скрытный способ избежать API-мониторинга. В ходе нашего исследования мы также обнаружили несколько интересных образцов, которые содержали информацию не только о потенциальных целях Earth Longzhi, но и о методах, которые они могут использовать в будущих кампаниях», — говорится в отчёте.

В ходе своего расследования Trend Micro проанализировала две отдельные кампании Earth Longzhi, которые проводились в период с 2020 по 2022 год. Как сообщается, эта банда является подгруппой китайской APT41, также известной как Barium, Bronze Atlas, Double Dragon и Wicked Panda.

«Данный отчёт является продолжением нашего предыдущего отчёта и направлен ​​на то, чтобы сообщить читателям, что Earth Longzhi продолжает свои операции и, как и ожидалось, постоянно улучшает свои TTPs», — сообщила Trend Micro.

«Хотя вредоносные образцы, которые мы собрали, напоминают тестовые файлы, они всё же могут быть полезны, поскольку содержат информацию о потенциальных целях Earth Longzhi и новых методах, которые группировка может использовать в будущем», — добавили специалисты. Согласно обнаруженным файлам, команда сделала вывод, что Earth Longzhi может быть нацелена на Вьетнам и Индонезию в своих будущих вредоносных кампаниях.

«Ещё одно примечательное открытие заключается в том, что злоумышленники продемонстрировали склонность к использованию проектов с открытым исходным кодом для реализации своих собственных инструментов», — сообщили в компании.

Команда Trend Micro также добавила, что есть чёткие доказательства того, что группировка улучшает свой набор инструментов в периоды бездействия. «Помня об этом, организациям следует сохранять бдительность в отношении постоянной разработки новых схем киберпреступниками», — заключили специалисты.

Ваш мозг на 60% состоит из жира. Добавьте 40% науки!

Сбалансированная диета для серого вещества

Подпишитесь и станьте самым умным овощем