Cycldek APT разработала вредонос для атак на физически изолированные системы

Чт 4 Июнь 2020 13:18

Китайскоязычная киберпреступная группировка Cycldek (также известная как Goblin Panda или Conimes) разработала вредоносный инструмент USBCulprit для осуществления атак на физически изолированные системы и хищения конфиденциальных данных.

«Один из недавно обнаруженных инструментов называется USBCulprit. Он полагается на USB-носители для хищения данных жертвы. Это может указывать на то, что Cycldek пыталась получить доступ к физически изолированным сетям в среде жертвы», — сообщили эксперты из «Лаборатории Касперского».

В ходе анализа вредоносного ПО NewCore RAT, которое злоумышленники использовали в кибератаках, специалисты выявили два разных варианта (BlueCore и RedCore) с некоторыми сходствами как в коде, так и в инфраструктуре. RedCore также содержит кейлоггер и RDP-логгер, которые собирают информацию о пользователях, подключенных к системе через RDP.

BlueCore и RedCore загружали множество дополнительных инструментов для облегчения перемещения по сети (HDoor) и извлечения информации (JsonCookies и ChromePass) из скомпрометированных систем. Главным среди них являлось вредоносное ПО USBCulprit, которое способно сканировать несколько путей, собирая документы с определенными расширениями (.pdf, .Doc, .Wps, .docx, .ppt, .Xls, .Xlsx, .pptx, .rtf) и экспортировать их на подключенный USB-накопитель.

Механизм заражения основан на использовании вредоносных двоичных файлов, замаскированных под легитимные антивирусные компоненты, для загрузки USBCulprit с помощью техники перехвата поиска DLL (DLL Search Order Hijacking).

Cycldek, впервые обнаруженная в 2013 году, атакует в основном оборонные, энергетические и государственные предприятия в Юго-Восточной Азии, в частности во Вьетнаме. Преступники используют вредоносные документы для эксплуатации уязвимостей (CVE-2012-0158, CVE-2017-11882, CVE-2018-0802 и пр.) в Microsoft Office и установки вредоноса NewCore.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 252 дня 16 часов 17 минут 22 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.