Злобная панда
В последние месяцы было несколько историй о киберпреступниках, использующих вполне реальную угрозу коронавируса для распространения вредоносных программ и программ-вымогателей . Эти угрозы распространялись по всему миру, но некоторые из них исходили, в частности, из Китая. Вплоть до того, что спонсируемая государством китайская хакерская группа Vicious Panda начала распространять собственное вредоносное ПО через коронавирус.
Информация об атаке поступила от Check Point, опубликовавшего исследование, показывающее, что китайская APT «использовала» достоверную информацию о коронавирусе для распространения своего вредоносного ПО в массы.
Оглавление
Вторая атака
Атака Vicious Panda на самом деле является второй крупной кампанией вредоносного ПО, связанной с коронавирусом (COVID-19), которая вышла из Китая за последние несколько недель. Первый произошел в начале марта, когда вьетнамская группа кибербезопасности VinCSS заметила атаку Mustang Panda. Mustang Panda — еще одна хакерская группа, спонсируемая китайским государством.
Их атака была известна тем, что они распространяли электронные письма с вложенным файлом RAR, который якобы содержал сообщение премьер-министра Вьетнама о коронавирусе. Вместо того, чтобы содержать какое-либо важное сообщение, файл RAR содержал троян-бэкдор, который устанавливался на компьютеры жертвы и открывал их для хакерской группы.
Злобная панда атакует правительство Монголии
Атака Vicious Panda была замечена Check Point, которая заявила, что следит за группой, поскольку они были нацелены на монгольские правительственные организации. Как и в случае с первой атакой, группа утверждала, что у нее есть важная информация о коронавирусе, которую пользователи должны загрузить для доступа.
Check Point удалось перехватить кибератаку «китайской APT-группы на предприятие государственного сектора Монголии». Атака использовала страх перед коронавирусом на этапе социальной инженерии. В нем было два документа. Один из документов был связан с COVID-19, и оба они якобы были из Министерства иностранных дел Монголии. Документы были упакованы с уникальной вредоносной программой, позволяющей получить удаленный доступ к компьютерам жертв.
Приложение к электронному письму - Источник: research.checkpoint.com
Вершина айсберга
К сожалению, эта последняя атака не является чем-то новым и представляет собой лишь вершину пресловутого айсберга. Хакеры всегда использовали подобные кризисы в своих интересах, поэтому они никак не могли сопротивляться использованию COVID-19 в своих интересах.
Последний китайский документ APT, по данным Check Point, назывался «О распространении новых коронавирусных инфекций». Он цитирует Национальный комитет здравоохранения Китая, чтобы выглядеть более аутентично и быть более эффективным. Несмотря на то, что имел место ряд киберугроз, связанных с COVID-19, это, по-видимому, первая хакерская группа, спонсируемая государством, против иностранного правительства.
Check Point заявляет, что эта атака является не только последней в серии хакерских атак, связанных с коронавирусом, но и последней в продолжающейся кампании китайских хакеров против других правительств и организаций. Разница в том, что этот использовал коронавирус как часть метода развертывания.
Атака была описана как «использование общественного интереса к коронавирусу для собственных целей [Китая] через новую цепочку кибер-инфицирования». Они говорят, что Vicious Panda нацелены на страны по всему миру, а не только на Монголию. Они призывают все организации государственного сектора и телекоммуникационные компании быть начеку в отношении потенциальных киберугроз, особенно всего, что якобы связано с коронавирусом.
Электронная почта и документы якобы исходят от правительства Монголии. По крайней мере, один из них утверждал, что исходил от министра иностранных дел. Кампания была нацелена на другие части монгольского государственного сектора. Целью кампании, по-видимому, было получение информации и снимков экрана с правительственных компьютеров, редактирование и удаление файлов, а также дистанционное управление этими компьютерами.
Как работает программа-вымогатель Vicious Panda?
Вредоносное вложение содержит троян удаленного доступа (RAT), который может получить контроль над компьютерами. Троянец запрограммирован на ограниченное количество подключений к серверу управления и контроля, что может затруднить его обнаружение. Структура полезной нагрузки предполагает, что она может включать другие модули, которые планируется установить позже в рамках более крупной кампании. Из того, что может сказать Check Point, вредоносное ПО, используемое в атаке, является совершенно уникальным и специально разработанным штаммом, но то, как именно оно работает — и что оно делает — довольно распространено.
Цепочки заражения Vicious Panda - Источник: research.checkpoint.com
Check Point разобрала другие части кампании, например, местонахождение командно-диспетчерского центра. В конце концов, это вредоносное ПО представляет собой не что иное, как спонсируемую государством кампанию. Он использует социальную инженерию, чтобы побудить пользователей загружать и открывать вложения. Вложение загружает другой файл и устанавливает на компьютер бэкдор. Затем Китай может использовать этот бэкдор, чтобы шпионить за правительственными целями.
Киберпреступники продолжат использовать Китай и коронавирус
Хотя указатели верхнего уровня не дают достаточно информации, чтобы точно определить, кто стоит за атакой, Check Point изучила код вредоносного ПО и обнаружила, что он похож на код, используемый в других вредоносных программах, связанных с Китаем. Эти кампании также были направлены против врагов Китая.
Китай — эпицентр коронавируса — использует вирус в своих интересах во многих обманных методах. Однако неудивительно, что они будут использовать коронавирус, поскольку в настоящее время это лучший инструмент социальной инженерии, доступный злоумышленникам. Даже обычные киберпреступники используют его в своих кампаниях.
