«Великий и ужасный» LightSpy наконец добрался до Windows

Китайская APT-группа APT41, известная также как Barium, Brass Typhoon, Bronze Atlas, Wicked Panda и Winnti, расширила свои инструменты слежки за счёт Windows-фреймворка DeepData, сообщается в новом отчёте BlackBerry.

Ранее группа использовала вредоносное ПО LightSpy, ориентированное на кражу данных с устройств на iOS. Первые атаки были зафиксированы ещё в 2020 году против пользователей iPhone в Гонконге. В последующие годы возможности LightSpy значительно расширились — появились версии для Android и macOS, а также деструктивные модули.

Теперь APT41 перешла к целям на Windows. Новый фреймворк DeepData включает 12 плагинов, направленных на сбор данных и шпионаж. Инфраструктура управления и контроля (C2) этой кампании отличается высокой степенью продуманности.

DeepData нацелен на перехват информации из таких коммуникационных приложений, как WhatsApp, Telegram, Signal, WeChat, Outlook, DingDing и Feishu. Кроме того, он собирает данные из браузеров, менеджеров паролей и сетевых систем, а также имеет возможность записывать звук с микрофона.

Звуковые записи создаются с использованием библиотеки FFmpeg и сохраняются в формате «.acc» для последующей отправки на сервер злоумышленников. Модули DeepData распространяются через C2-серверы в виде ZIP-архивов и структурированы по аналогии с LightSpy — основной модуль и несколько специализированных плагинов.

По данным BlackBerry, разработка DeepData началась примерно в середине 2022 года, причём большинство плагинов были скомпилированы в течение 2023 года. Ключевая часть фреймворка завершена в марте 2024 года, а функции кейлоггера были добавлены в октябре.

Аналитики считают, что APT41 использует DeepData для атак на цели в Юго-Восточной Азии, в том числе на журналистов, политиков и активистов. Основная цель группы — долгосрочный сбор разведданных с упором на скрытность и устойчивость доступа к устройствам.

Эксперты рекомендуют пользователям усилить защиту своих устройств, чтобы избежать заражения. Для этого следует регулярно обновлять операционные системы и приложения, использовать надёжные антивирусные программы и брандмауэры, а также избегать скачивания файлов из непроверенных источников. Особое внимание стоит уделить безопасности мессенджеров и браузеров — использовать сложные пароли и включить многофакторную аутентификацию.