Китайские кибершпионы год скрывались во взломанных сетях правительственных учреждений Гонконга

Китайские кибершпионы год скрывались во взломанных сетях правительственных учреждений Гонконга

В произошедшем эксперты обвиняют группировку APT41.

Исследователи из Symantec сообщили о серии атак, приписываемых группировке APT41 (также известной как Winnti), которая взломала правительственные учреждения Гонконга и в некоторых случаях оставались незамеченными в течение года. В ходе атак хакеры использовали вредоноса Spyder Loader – это их “визитная карточка”, которой они ранее пользовались и в других атаках.

Атаки APT41 связывают с хакерской операцией под названием “Operation CuckooBees”, которая проводилась с 2019 года и была направлена на технологические и производственные компании в Северной Америке, Восточной Азии и Западной Европе.

В ходе операции CuckooBees группировка использовала новую версию бэкдора Spyder Loader, которая сохранила старые особенности вредоноса:

  • Использование библиотеки CryptoPP C++;

  • Использование rundll32.exe для развертывания загрузчика вредоносного ПО;

  • Модифицированную копия DLL SQLite3 для управления базами данных SQLite, sqlite3.dll;

Начальный этап заражения тоже не изменился. Spyder Loader загружает на устройство жертвы BLOB-объекты, зашифрованные с помощью AES. Затем эти объекты создают полезную нагрузку под названием "wlbsctrl.dll".

Кроме Spyder Loader APT41 начала использовать:

  • Инфостилер Mimikatz, который позволяет хакерам проникать еще глубже в сеть жертвы;

  • Троянизированную библиотеку ZLib DLL, которая содержит несколько файлов, один из которых ожидал соединения с C&C-сервером, в то время как другой загружал полезную нагрузку на устройство жертвы.

И хотя Symantec не удалось получить конечную полезную нагрузку, специалисты поняли мотив хакеров – сбор ценной информации о правительственных организациях в Гонконге.

Мы клонировали интересный контент!

Никаких овечек — только отборные научные факты

Размножьте знания — подпишитесь