Китайские APT-группы маскируют шпионаж под вымогательскую атаку

Две китайские хакерские группы, занимающиеся кибершпионажем и крадущие интеллектуальную собственность японских и западных компаний, используют программы-вымогатели в качестве приманки для сокрытия своих злонамеренных действий.

Согласно исследованию Secureworks , две группировки Bronze Riverside (APT41) и Bronze Starlight (APT10) использовали HUI Loader для развертывания троянов удаленного доступа ( Remote Access Trojans, RAT ) PlugX , Cobalt Strike и QuasarRAT .

В своих кампаниях хакеры использовали новую версию HUI Loader, которая способна перехватывать вызовы Windows API и отключать функции Event Tracing for Windows (ETW) и Antimalware Scan Interface (AMSI).

Кроме того, Bronze Starlight может создавать временные штаммы вымогательского ПО, чтобы маскировать свою кампанию кибершпионажа под атаку программы-вымогателя, уменьшая шансы обнаружения

Эксперты Securework порекомендовали специалистам установить надежные механизмы обнаружения и защиту от программ-вымогателей, а также тщательно проверять все системы после очистки.