Её конечной целью была установка инструмента удалённого администрирования, который обеспечивал полный контроль над заражённым устройством. Дальнейший анализ показал, что вредоносную кампанию с использованием усовершенствованных техник провели злоумышленники, связанные с Cycldek — китайскоязычной APT-группировкой, действующей по меньшей мере с 2013 года.

Зачастую китайскоязычные APT-группировки делятся методиками друг с другом. Это позволяет исследователям «Лаборатории Касперского» проще выявлять целевые атаки, за которыми стоят широко известные LuckyMouse, HoneyMyte и Cycldek. Изучая новую кампанию кибершпионажа, эксперты сразу обратили внимание на тактики, применяемые против правительственных и военных организаций во Вьетнаме, в частности — на подмену динамически загружаемых библиотек для запуска вредоносного кода.

Используемый злоумышленниками способ защиты вредоносного кода от анализа демонстрирует, что техники APT-группировок Азиатско-Тихоокеанского региона совершенствуются. Заголовки исполняемых файлов финальных троянцев были полностью удалены, а оставшиеся содержали бессмысленные значения. Таким образом атакующие значительно затрудняют экспертам исследование вредоносного ПО. Помимо этого, компоненты цепи заражения были тесно связаны, а значит, отдельные фрагменты трудно и иногда невозможно анализировать изолированно, вне общей картины вредоносной активности.

Исследователи «Лаборатории Касперского» обнаружили, что в ходе атак загружались ещё две вредоносные программы. Первая — DropPhone — собирала информацию о том, что происходило на заражённом устройстве, и отправляла её в DropBox. Вторая — CoreLoader — запускала код, который помогал вредоносному ПО избегать обнаружения защитными решениями.

Кампания кибершпионажа затронула десятки компьютеров, 80% из них находились во Вьетнаме. В большинстве случаев атакам подвергались правительственные и военные организации, а также учреждения, связанные со здравоохранением, дипломатией, образованием или политикой. Кроме того, были выявлены редкие случаи целевых атак в Центральной Азии и Таиланде.

«Вредоносная программа, использованная в последних атаках, имеет сходство со зловредом RedCore, который мы обнаружили в прошлом году. Не без доли сомнения мы считаем, что за новой кампанией кибершпионажа стоит Cycldek. Ранее она казалась нам наименее изобретательной APT-группировкой, действующей в Азиатско-Тихоокеанском регионе, однако её недавняя активность демонстрирует совершенствование техник и значительный прогресс, — комментирует Марк Лехтик, старший эксперт команды GReAT. — Сейчас можно подумать, что эта кампания кибершпионажа представляет собой локальную угрозу, однако есть вероятность, что в будущем зловред FoundCore появится и в других регионах».

Более детальная информация о кампании кибершпионажа в Азиатско-Тихоокеанском регионе доступна на Securelist.

Также 8 апреля в 17.00 по московскому времени эксперты GReAT проведут воркшоп по реверс-инжинирингу целевого вредоносного ПО. Подробности можно найти по ссылке: https://xtraining.kaspersky.com.

Для защиты организации от целевых атак «Лаборатория Касперского» рекомендует придерживаться следующих мер:

  • установить решения Kaspersky Anti Targeted Attack Platform и Kaspersky Endpoint Detection and Response, которые позволяют своевременно обнаруживать киберинциденты и реагировать на них;
  • предоставить сотрудникам SOC-центров доступ к наиболее актуальным аналитическим данным о киберугрозах и регулярно повышать их квалификацию, например с помощью Kaspersky Security Awareness.

«Лаборатория Касперского» обнаружила новую кампанию кибершпионажа в Азиатско-Тихоокеанском регионе

В июне 2020 года исследователи «Лаборатории Касперского» выявили новую кампанию кибершпионажа, нацеленную на правительственные и военные организации во Вьетнаме.
Kaspersky Logo