Новый бэкдор Sword2033 выдаёт китайские хакерские атаки за действия южноафриканских военных

Новый бэкдор Sword2033 выдаёт китайские хакерские атаки за действия южноафриканских военных

Киберпреступная группировка Gallium профессионально переводит стрелки.

image

Китайские хакеры используют новые варианты вредоносных программ для Linux в своих последних кибершпионских атаках. Среди инструментария злоумышленников новый вариант вредоноса «PingPull» и ранее незадокументированный бэкдор, отслеживаемый исследователями как «Sword2033».

PingPull — это троян удаленного доступа (RAT), впервые обнаруженный специалистами Unit 42 прошлым летом. Он использовался в шпионских атаках, проведенных спонсируемой государством китайской группой Gallium, также известной как Alloy Taurus. Те атаки были направлены на правительственные и финансовые организации в Австралии, России, Бельгии, Малайзии, Вьетнаме и на Филиппинах.

Исследователи Unit 42 продолжали отслеживать эти шпионские кампании и сообщили буквально сегодня, что данный китайский злоумышленник снова использует PingPull в своих последних атаках, точнее его новую вариацию для Linux, и на этот раз против целей в Южной Африке и Непале.

PingPull для Linux представляет собой ELF-файл, который в настоящее время помечают как вредоносный только 3 из 62 поставщиков антивирусных решений. Специалисты смогли определить, что это порт известной вредоносной программы для Windows, когда заметили сходство в структуре HTTP-коммуникации, параметрах POST, AES-ключе и в командах от C2-сервера.

Исследователи Unit 42 отмечают, что обработчики команд, используемые в PingPull, совпадают с обработчиками, обнаруженными в другом вредоносном ПО под названием China Chopper — веб-оболочке, активно используемой в атаках на серверы Microsoft Exchange.

Специалисты также обнаружили и ранее неизвестный бэкдор Sword2033, который связывался с тем же C2-сервером, что и PingPull. Это более простой инструмент с базовыми функциями, такими как загрузка файлов во взломанную систему, эксфильтрация файлов и выполнение произвольных команд. Примечательно, что Unit 42 также был обнаружен ещё один образец Sword2033, связанный с другим C2-сервером. Этот бэкдор, согласно IP-адресу удалённого сервера, вероятно, намеренно пытался выдать себя за творение южноафриканских военных.

Схема последней вредоносной кампании Gallium

В заключение следует отметить, что хакеры Gallium продолжают совершенствовать свой арсенал и расширять целевую аудиторию, используя как новые версии PingPull для Linux, так и недавно обнаруженный бэкдор Sword2023.

Организации должны принять комплексную стратегию безопасности для эффективного противодействия этой изощрённой угрозе, а не полагаться исключительно на статические методы обнаружения.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!