Cycldek APT разработала вредонос для атак на физически изолированные системы

[Artifact]

Вредонос USBCulprit использует USB-носители для хищения конфиденциальных данных.

Китайскоязычная киберпреступная группировка Cycldek (также известная как Goblin Panda или Conimes) разработала вредоносный инструмент USBCulprit для осуществления атак на физически изолированные системы и хищения конфиденциальных данных.
«Один из недавно обнаруженных инструментов называется USBCulprit. Он полагается на USB-носители для хищения данных жертвы. Это может указывать на то, что Cycldek пыталась получить доступ к физически изолированным сетям в среде жертвы», — https://securelist.com/cycldek-bridg...air-gap/97157/эксперты из «Лаборатории Касперского».
В ходе анализа вредоносного ПО NewCore RAT, которое злоумышленники использовали в кибератаках, специалисты выявили два разных варианта (BlueCore и RedCore) с некоторыми сходствами как в коде, так и в инфраструктуре. RedCore также содержит кейлоггер и RDP-логгер, которые собирают информацию о пользователях, подключенных к системе через RDP.
BlueCore и RedCore загружали множество дополнительных инструментов для облегчения перемещения по сети (HDoor) и извлечения информации (JsonCookies и ChromePass) из скомпрометированных систем. Главным среди них являлось вредоносное ПО USBCulprit, которое способно сканировать несколько путей, собирая документы с определенными расширениями (.pdf, .Doc, .Wps, .docx, .ppt, .Xls, .Xlsx, .pptx, .rtf) и экспортировать их на подключенный USB-накопитель.
Вредоносная программа может создавать свои копии на определенных съемных носителях для продвижения по физически изолированным системам при подключении зараженного USB-накопителя к другому устройству.
Механизм заражения основан на использовании вредоносных двоичных файлов, замаскированных под легитимные антивирусные компоненты, для загрузки USBCulprit с помощью техники перехвата поиска DLL (DLL Search Order Hijacking).
Cycldek, впервые обнаруженная в 2013 году, атакует в основном оборонные, энергетические и государственные предприятия в Юго-Восточной Азии, в частности во Вьетнаме. Преступники используют вредоносные документы для эксплуатации уязвимостей (CVE-2012-0158, CVE-2017-11882, CVE-2018-0802 и пр.) в Microsoft Office и установки вредоноса NewCore.