Китайская группировка Scarab атаковала компании в Украине

Китайская киберпреступная группировка Scarab использовала специальный бэкдор под названием HeaderTip в рамках кампании, нацеленной на украинские организации.

По словам экспертов из SentinelOne, организаторы кампании целенаправленного фишинга рассылают архив RAR с исполняемым файлом, предназначенным для скрытной установки вредоносной DLL-библиотеки под названием HeaderTip в фоновом режиме.

Группировка Scarab была обнаружена командой Symantec Threat Hunter в январе 2015 года. Преступники осуществляли атаки против русскоязычных лиц по крайней мере с января 2012 года с целью развертывания бэкдора под названием Scieron.

Эксперты связали HeaderTip с группировкой Scarab, основываясь на сходстве вредоносного ПО и инфраструктуры с Scieron. HeaderTip, созданный в виде 32-разрядного DLL-файла и написанный на языке программирования C++, имеет размер 9,7 КБ, а его функциональные возможности ограничены работой в качестве пакета первого этапа для загрузки модулей следующего этапа с удаленного сервера.

По словам ИБ-специалистов, участники группировки Scarab действуют в целях сбора геополитической информации.

В фишинговых атаках используется документ-приманка, якобы отправленный от имени Национальной полиции Украины. Документы-приманки из различных кампаний содержат метаданные, указывающие на то, что их создатель использует операционную систему Windows с настройками на китайском языке.