Новая кампания китайских хакеров направлена на шпионаж госучреждений Японии.
https://www.securitylab.ru/upload/ib...xs1r1vg2zu.jpg
Китайская группировка Cicada, отслеживаемая как APT10 , использует ПО безопасности для установки новой версии вредоносного ПО LODEINFO в сетях японских организаций. Об этом сообщили исследователи Лаборатории Касперского.
Цели группы – СМИ, дипломатические представительства, правительственные организации и госучреждения, а также аналитические центры Японии, все они представляют большой интерес для кибершпионажа.
Эксперты отслеживают кампанию Cicada с марта 2022 года, в рамках которой используется фишинг по электронной почте, самораспаковывающийся RAR-файл и эксплуатация уязвимости боковой загрузки DLL (DLL Sideloading) в ПО безопасности.
RAR-архив содержит легитимный исполняемый файл (NRTOLD.exe) антивирусной программы «K7Security Suite» и вредоносную DLL-библиотеку с именем «K7SysMn1.dll». Когда NRTOLD.exe запускается, он пытается загрузить файл K7SysMn1.dll, который обычно входит в комплект ПО.
Если вредоносная DLL хранится в той же папке, что и легитимные исполняемые файлы, при запуске EXE-файл загружает вредоносную DLL-библиотеку, содержащую вредоносное ПО LODEINFO.
Поскольку вредоносное ПО загружается с использованием легитимного антивирусного ПО, система защиты устройства не определяет LODEINFO как вредоносное ПО. Пока архив извлекается в фоновом режиме и инициирует процесс заражения, на экране жертвы отображается документ-приманка.
По словам Лаборатории Касперского, авторы вредоносных программ выпустили 6 новых версий LODEINFO в 2022 году, последняя из которых (v0.6.7) выпущена в сентябре 2022 года. Актуальная версия содержит следующие команды:<ul><li>Показать список команд бэкдора;</li>
</ul><ul><li>Скачать файл с C&amp;C-сервера;</li>
</ul><ul><li>Загрузить файл на C&amp;C-сервер;</li>
</ul><ul><li>Внедрить шелл-код в память;</li>
</ul><ul><li>Завершить процесс, используя идентификатор процесса;</li>
</ul><ul><li>Изменить каталог;</li>
</ul><ul><li>Отправить вредоносное ПО и системную информацию;</li>
</ul><ul><li>Сделать снимок экрана;</li>
</ul><ul><li>Выполнить шифрование файлов с помощью сгенерированного AES-ключа;</li>
</ul>Лаборатория Касперского сообщает, что версии LODEINFO v0.6.6 и v0.6.7, которые не были проанализированы в этом отчете, уже распространяются через новые TTPs, поэтому угроза постоянно меняет форму, что затрудняет отслеживание аналитиками и ИБ-специалистами.
Ранее стало известно, что китайские хакеры из группы Witchetty, связанной с APT10, проводят кампании киберпшпионажа против правительств на Ближнем Востоке и фондовой биржи в Африке. В этой кампании киберпреступники спрятали вредоносное ПО в логотип Windows.