Кампания DeputyDog эксплуатирует уязвимость нулевого дня в IE

Исследователи безопасности обнаружили новую кампанию DeputyDog по осуществлению кибератак на организации в Китае, Японии и других странах Азии. Некоторые из атак эксплуатируют уязвимость в Internet Explorer, обнародованную на прошлой неделе.

Вредоносное ПО для осуществления этих атак впервые было обнаружено на сервере в Гонконге под видом jpg-файлов исследователями безопасности из FireEye в августе нынешнего года. Исследовав содержимое сервера, находящегося по IP-адресу 180.150.228.102, эксперты пришли к выводу, что хакеры, ответственные за операцию DeputyDog, - это та же самая группа, скомпрометировавшая системы компании безопасности Bit9 в феврале нынешнего года.

По словам исследователей из Bit9, для взлома их систем злоумышленники использовали два варианта руткита HiKit. Один из образцов руткита соединяется с С&С-сервером downloadmp3server[.]servemp3[.]com. На этом же IP-адресе 66.153.86.14 размещен вредоносный домен www[.]yahooeast[.]net, на который зарегистрирован электронный ящик 654@123.com. На эту же электронную почту зарегистрирован домен blankchair[.]com с IP-адресом 180.150.228.102, где размещен образец 58dc05118ef8b11dcb5f5c596ab772fd и который эксплуатирует уязвимость CVE-2013-3893 (подробнее ознакомиться с уязвимостью можно здесь ).

Эксперты из Symantec считают , что за атаками на Bit9 стоит китайская хакерская группа Hidden Lynx, которая ранее была вовлечена в операцию Aurora, направленную против Google и более 30 других технологических компаний в 2009 году.

Тем временем, исследователи из Trend Micro обнаружили новое семейство вредоносного ПО, использующееся преимущественно для осуществления атак на правительственные организации в Азии. EvilGrab используется для хищения аудио- и видеофайлов. ПО, в основном, используется в Китае (36%) и Японии (16%), при этом в 89% случаев атаки совершались на правительственные учреждения. По словам экспертов, EvilGrab был специально разработан для хищения сообщений из популярного китайского приложения Tencent QQ.