В произошедшем эксперты обвиняют группировку APT41.
https://www.securitylab.ru/upload/ib...1cfqe8orjz.png
Исследователи из Symantec сообщили о серии атак, приписываемых группировке APT41 (также известной как Winnti), которая взломала правительственные учреждения Гонконга и в некоторых случаях оставались незамеченными в течение года. В ходе атак хакеры использовали вредоноса Spyder Loader – это их “визитная карточка”, которой они ранее пользовались и в других атаках.
Атаки APT41 связывают с хакерской операцией под названием “Operation CuckooBees”, которая проводилась с 2019 года и была направлена на технологические и производственные компании в Северной Америке, Восточной Азии и Западной Европе.
В ходе операции CuckooBees группировка использовала новую версию бэкдора Spyder Loader, которая сохранила старые особенности вредоноса:<ul><li>Использован� �е библиотеки CryptoPP C++;</li>
</ul><ul><li>Использование rundll32.exe для развертывания загрузчика вредоносного ПО;</li>
</ul><ul><li>Модифицированную копия DLL SQLite3 для управления базами данных SQLite, sqlite3.dll;</li>
</ul>Начальный этап заражения тоже не изменился. Spyder Loader загружает на устройство жертвы BLOB-объекты, зашифрованные с помощью AES. Затем эти объекты создают полезную нагрузку под названием "wlbsctrl.dll".
Кроме Spyder Loader APT41 начала использовать:<ul><li>Инфостил� �р Mimikatz, который позволяет хакерам проникать еще глубже в сеть жертвы;</li>
</ul><ul><li>Троянизированную библиотеку ZLib DLL, которая содержит несколько файлов, один из которых ожидал соединения с C&amp;C-сервером, в то время как другой загружал полезную нагрузку на устройство жертвы.</li>
</ul>И хотя Symantec не удалось получить конечную полезную нагрузку, специалисты поняли мотив хакеров – сбор ценной информации о правительственных организациях в Гонконге.