Mandiant рассказал как Китай использует USB-устройства для шпионажа

Согласно новому отчету Mandiant, предположительно связанная с Китаем группировка проводила серию шпионских атак на Филиппинах, используя USB-устройства в качестве начального вектора заражения.

Mandiant отслеживает кластер угроз под своим неклассифицированным названием UNC4191. Согласно анализу артефактов, использованных при вторжениях, кампания проводилась в сентябре 2021 года.

Атаки затронули ряд организаций государственного и частного секторов, в первую очередь в Юго-Восточной Азии, а также в США, Европе и Азиатско-Тихоокеанском регионе. Однако, даже когда целевые организации находились в других местах, определенные системы, на которые нацелена UNC4191, также оказывались физически расположенными на Филиппинах.

По словам экспертов, атаки привели к развертыванию новых семейств вредоносных программ под названием MISTCLOAK, DARKDEW, BLUEHAZE, а также Ncat – сетевая утилита командной строки, которая используется для создания обратной оболочки в системе жертвы.

Цепочка атак UNC4191

Когда пользователь подключает к компьютеру скомпрометированное USB-устройство, активируется MISTCLOAK, выступая в качестве панели запуска для зашифрованной полезной нагрузки DARKDEW. DARKDEW, в свою очередь, заражает съемные диски, распространяется на дополнительные системы и собирает данные из Air Gap систем ( воздушный зазор ).

Кроме того, DARKDEW также предназначен для запуска исполняемого файла («DateCheck.exe») – переименованной версии легитимного приложения «Razer Chromium Render Process», которая разворачивает вредоносное ПО BLUEHAZE. BLUEHAZE запускает копию Ncat для создания обратной оболочки по жестко запрограммированному адресу сервера управления и контроля (C&C).

Исследователи считают, что эта кампания демонстрирует действия Китая по получению и сохранению доступа к государственным и частным организациям в целях сбора разведданных, связанных с политическими и коммерческими интересами страны.