Timitator: хакеры нового поколения атакуют критическую инфраструктуру Китая

leer en español

Timitator: хакеры нового поколения атакуют критическую инфраструктуру Китая

ПО на Rust, фальшивые подписи и связь с OceanLotus. Чем ещё удивит группировка?

image

В период с 2022 по 2023 год группировка киберзлоумышленников Timitator (战术模仿者) активно атаковала китайские энергетические, научные и военные учреждения. Атаки проводились с использованием фишинга и других методов, направленных на компрометацию целевых систем.

Группа Timitator использовала различные форматы вредоносных файлов, такие как «.exe», «.chm», «.iso» и «.lnk». После успешного запуска инфицированных файлов, на первом этапе загружался CobaltStrike для установления стабильного соединения, а затем через него загружался кастомный вредоносный код, позволяющий провести оценку сети и разработать индивидуальные планы атак для каждого заражённого устройства.

Недавно лаборатория Xunxinfo зафиксировала новую партию фишинговых экземпляров вредоносного софта от Timitator. В них вместо CobaltStrike использовался инструмент удалённого управления, написанный на языке Rust. Некоторые из этих файлов были снабжены фальшивыми подписями Microsoft и описаниями, маскирующими их под легитимное программное обеспечение.

Группировка Timitator на постоянной основе использует технику DLL Sideloading, сочетая легитимные программы с вредоносными библиотеками. Например, вместе с системой контроля температуры NitroSense использовалась зловредная библиотека WTSAPI32.dll, а с антивирусом Bitdefender — Log.dll. Эти вредоносные библиотеки были защищены оболочкой VMP, но из-за отсутствия легитимной подписи их эффективность против антивирусов была снижена.

В ходе анализа было установлено, что первый этап загрузки шелл-кода совпадает с образцами, ранее приписываемыми другой хакерской группе — OceanLotus. Это свидетельствует о возможной взаимосвязи между Timitator и OceanLotus.

Тем временем, Timitator продолжает активно атаковать ключевые китайские учреждения, адаптируя свои методы и инструменты для обхода современных систем защиты. Использование новых инструментов на базе Rust, а также подделка подписей свидетельствуют о высокой степени подготовленности и изобретательности злоумышленников.

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий