Китайские хакеры используют загрузчик ZeroT и CHM-файлы для доставки RAT PlugX.
Китайская хакерская группировка, специализирующаяся на кибершпионаже, атакует военные и аэрокосмические организации в России и соседних странах. В кампании, зафиксированной экспертами компании Proofpoint в июле 2016 года, злоумышленники использовали вредоносное ПО NetTraveler (также известно как TravNet) и троян удаленного доступа PlugX. Примерно в то же время группировка начала применять новый загрузчик ZeroT и файлы в формате .chm (Compressed HTML Help) для доставки PlugX.
Атакующие рассылают жертвам CHM-файл, содержащий файл HTM и исполняемый файл. После открытия справки на экране отображается русскоязычное уведомление UAC (Контроль учетных записей) о запуске «неизвестной программы». Если пользователь согласится, на компьютер будет загружен ZeroT.
Для распространения загрузчика группировка также использует специально сформированные документы Microsoft Word и самораспаковывающиеся RAR-архивы. Значительная часть этих архивов включала исполняемый файл Go.exe, использующий инструмент Event Viewer («Просмотр событий») для обхода UAC в Windows.
Оказавшись на системе, ZeroT связывается с управляющим сервером и отправляет информацию о зараженной системе. Далее ZeroT загружает троян PlugX либо в виде незашифрованного PE-файла, либо в виде Bitmap (.bmp) файла, использующего стеганографию для сокрытия вредоносного ПО.
Спойлер: она начинается с подписки на наш канал