Microsoft: китайские хакеры шпионят за американскими дипломатами

Исследователи кибербезопасности из Microsoft заявили , что базирующаяся в Китае группировка DEV-0147 шпионит за южноамериканскими дипломатическими целями в ходе расширения своих кампаний из Азии и Европы.

Атаки DEV-0147 в Южной Америке представляли из себя злоупотребление локальной инфраструктурой идентификации для разведки и бокового перемещения (Lateral Movement), а также использование Cobalt Strike для управления и контроля, и эксфильтрации данных.

По словам Microsoft, группа использовала RAT-троян ShadowPad . Другие китайские хакеры также используют этот инструмент для поддержания постоянного доступа. DEV-0147 также использовала загрузчик веб-пакетов QuasarLoader для развертывания дополнительных вредоносных программ.

Шпионаж за дипломатическими целями в Южной Америке является расширением кампаний группы по эксфильтрации данных правительственных учреждений и аналитических центров в Азии и Европе.

Windows-бэкдор под названием ShadowPad, позволяющий злоумышленникам загружать дополнительные вредоносные модули или красть данные, с 2017 года активно используется различными китайскими кибершпионскими группировками .

Вредоносная программа расшифровывает и загружает в память устройства подключаемый модуль Root, обеспечивающий загрузку других встроенных модулей, в дополнение к динамическому развертыванию дополнительных подключаемых модулей с удаленного C&C-сервера. Это позволяет злоумышленникам использовать дополнительные функции, по умолчанию не встроенные во вредоносное ПО.