Злісна панда
За останні місяці було кілька історій, коли кіберзлочинці використовували дуже реальну загрозу коронавірусу для поширення шкідливих програм і програм-вимагачів . Ці загрози поширювалися по всьому світу, але, зокрема, з Китаю. До того, що спонсорована державою китайська хакерська група Vicious Panda почала поширювати власне шкідливе програмне забезпечення через коронавірус.
Інформація про атаку надходить від Check Point, який опублікував дослідження, яке показує, що китайська APT «зброїла» законну інформацію про коронавірус, щоб поширити своє шкідливе програмне забезпечення серед мас.
Зміст
Друга атака
Атака Vicious Panda фактично є другою великою кампанією зловмисного програмного забезпечення, пов’язаної з коронавірусом (COVID-19), яка вийшла з Китаю за останні кілька тижнів. Перше сталося на початку березня, коли в’єтнамська група кібербезпеки VinCSS помітила атаку Mustang Panda. Mustang Panda — ще одна хакерська група, спонсорована державою Китаю.
Їхня атака була відома тим, що вони розповсюджували електронні листи з вкладеним RAR-файлом, який, як стверджується, містить повідомлення від прем’єр-міністра В’єтнаму про коронавірус. Замість того, щоб містити будь-які важливі повідомлення, файл RAR містив бекдор-троян, який встановлювався на комп’ютерах жертви та відкривав їх хакерській групі.
Жорстока панда атакує монгольський уряд
Напад Vicious Panda був помічений Check Point, який сказав, що стежить за групою, оскільки вони були націлені на монгольські урядові організації. Як і перша атака, група стверджувала, що має життєво важливу інформацію про коронавірус, до якої користувачі мають завантажити доступ.
Check Point вдалося перехопити кібератаку «китайської групи APT на орган державного сектору Монголії». Атака використала страх перед коронавірусом на етапі соціальної інженерії. У ньому було два документи. Один із документів був пов’язаний з COVID-19, і обидва вони стверджували, що вони з Міністерства закордонних справ Монголії. Документи були упаковані з унікальною загрозою зловмисного програмного забезпечення, яка дозволяла отримати віддалений доступ до комп’ютерів жертви.
Вкладення електронної пошти – Джерело: research.checkpoint.com
Верхівка айсберга
На жаль, ця остання атака не є новим і є лише верхівкою айсберга. Хакери завжди використовували подібні кризи на свою користь, тому вони не могли протистояти використанню COVID-19.
Згідно з Check Point, останній китайський документ APT мав назву «Про поширення нових коронавірусних інфекцій». Він посилається на Національний комітет охорони здоров’я Китаю, щоб виглядати більш автентичним і ефективнішим. Незважаючи на те, що існує низка кіберзагроз, пов’язаних із COVID-19, це, схоже, перша хакерська група, яку спонсорує держава, проти іноземного уряду.
Крім того, що ця атака є останньою у серії хакерських атак, пов’язаних з коронавірусом, Check Point каже, що ця атака є останньою в поточній кампанії китайських хакерів проти інших урядів та організацій. Різниця в тому, що цей один використовував коронавірус як частину методу розгортання.
Атаку описали як «використання суспільного інтересу до коронавірусу для власного порядку денного [Китай] через новий ланцюжок кіберінфекції». Кажуть, що Vicious Panda націлена на країни по всьому світу, а не лише на Монголію. Вони закликають усі органи державного сектору та телекомунікаційні компанії бути напоготові щодо потенційних кіберзагроз, особливо всього, що стверджується, що стосується коронавірусу.
Стверджується, що електронний лист і документи надійшли від власного уряду Монголії. Принаймні один із них стверджував, що походить від міністра закордонних справ. Кампанія була спрямована на інші частини монгольського державного сектору. Метою кампанії було отримання інформації та скріншотів із державних комп’ютерів, редагування та видалення файлів, а також отримання дистанційного керування цими комп’ютерами.
Як працює програмне забезпечення Vicious Panda Ransomware?
Шкідливий вкладений файл містить троян віддаленого доступу (RAT), який може взяти під контроль комп’ютери. Троян запрограмований на обмежені підключення до сервера командування та керування, що може ускладнити його виявлення. Структура корисного навантаження передбачає, що вона може включати інші модулі, які планується встановити пізніше як частину більшої кампанії. З того, що Check Point може судити, шкідливе програмне забезпечення, яке використовується в атаці, є абсолютно унікальним і спеціально розробленим штаммом, але саме те, як воно працює – і що воно робить – досить поширене.
Vicious Panda Infection Chains – Джерело: research.checkpoint.com
Check Point розбив інші частини кампанії, наприклад, де розміщувався центр управління та управління. Зрештою, це зловмисне програмне забезпечення — це не що інше, як кампанія, спонсорована державою. Він використовує соціальну інженерію, щоб спонукати користувачів завантажувати та відкривати вкладений файл. Вкладений файл завантажує інший файл і встановлює бекдор на комп’ютер. Потім Китай може використати цей захід, щоб шпигувати за урядовими цілями.
Кібершахраї продовжуватимуть використовувати Китай і коронавірус
Хоча вказівники верхнього рівня не пропонують достатньо інформації, щоб точно визначити, хто стоїть за атакою, Check Point докопався до коду шкідливого ПЗ і виявив, що він схожий на код, який використовується в інших шкідливих програмах, пов’язаних з Китаєм. Ці кампанії також були спрямовані проти ворогів Китаю.
Китай – епіцентр коронавірусу – використовує вірус у своїх власних інтересах у багатьох оманливих методах. Не дивно, що вони використовують коронавірус, оскільки наразі це найкращий інструмент соціальної інженерії, доступний для суб’єктів загрози. Навіть звичайні кіберзлочинці використовують це у своїх власних кампаніях.
