05.06.2020 | Cycldek APT разработала вредонос для атак на физически изолированные системы |
Китайскоязычная киберпреступная группировка Cycldek (также известная как Goblin Panda или Conimes) разработала вредоносный инструмент USBCulprit для осуществления атак на физически изолированные системы и хищения конфиденциальных данных. «Один из недавно обнаруженных инструментов называется USBCulprit. Он полагается на USB-носители для хищения данных жертвы. Это может указывать на то, что Cycldek пыталась получить доступ к физически изолированным сетям в среде жертвы», — сообщили эксперты из «Лаборатории Касперского». В ходе анализа вредоносного ПО NewCore RAT, которое злоумышленники использовали в кибератаках, специалисты выявили два разных варианта (BlueCore и RedCore) с некоторыми сходствами как в коде, так и в инфраструктуре. RedCore также содержит кейлоггер и RDP-логгер, которые собирают информацию о пользователях, подключенных к системе через RDP. BlueCore и RedCore загружали множество дополнительных инструментов для облегчения перемещения по сети (HDoor) и извлечения информации (JsonCookies и ChromePass) из скомпрометированных систем. Главным среди них являлось вредоносное ПО USBCulprit, которое способно сканировать несколько путей, собирая документы с определенными расширениями (.pdf, .Doc, .Wps, .docx, .ppt, .Xls, .Xlsx, .pptx, .rtf) и экспортировать их на подключенный USB-накопитель. Вредоносная программа может создавать свои копии на определенных съемных носителях для продвижения по физически изолированным системам при подключении зараженного USB-накопителя к другому устройству. Механизм заражения основан на использовании вредоносных двоичных файлов, замаскированных под легитимные антивирусные компоненты, для загрузки USBCulprit с помощью техники перехвата поиска DLL (DLL Search Order Hijacking). Cycldek, впервые обнаруженная в 2013 году, атакует в основном оборонные, энергетические и государственные предприятия в Юго-Восточной Азии, в частности во Вьетнаме. Преступники используют вредоносные документы для эксплуатации уязвимостей (CVE-2012-0158, CVE-2017-11882, CVE-2018-0802 и пр.) в Microsoft Office и установки вредоноса NewCore. |
Проверить безопасность сайта