15.05.2024 | Timitator: хакеры нового поколения атакуют критическую инфраструктуру Китая |
В период с 2022 по 2023 год группировка киберзлоумышленников Timitator (战术模仿者) активно атаковала китайские энергетические, научные и военные учреждения. Атаки проводились с использованием фишинга и других методов, направленных на компрометацию целевых систем. Группа Timitator использовала различные форматы вредоносных файлов, такие как «.exe», «.chm», «.iso» и «.lnk». После успешного запуска инфицированных файлов, на первом этапе загружался CobaltStrike для установления стабильного соединения, а затем через него загружался кастомный вредоносный код, позволяющий провести оценку сети и разработать индивидуальные планы атак для каждого заражённого устройства. Недавно лаборатория Xunxinfo зафиксировала новую партию фишинговых экземпляров вредоносного софта от Timitator. В них вместо CobaltStrike использовался инструмент удалённого управления, написанный на языке Rust . Некоторые из этих файлов были снабжены фальшивыми подписями Microsoft и описаниями, маскирующими их под легитимное программное обеспечение. Группировка Timitator на постоянной основе использует технику DLL Sideloading , сочетая легитимные программы с вредоносными библиотеками. Например, вместе с системой контроля температуры NitroSense использовалась зловредная библиотека WTSAPI32.dll, а с антивирусом Bitdefender — Log.dll. Эти вредоносные библиотеки были защищены оболочкой VMP, но из-за отсутствия легитимной подписи их эффективность против антивирусов была снижена. В ходе анализа было установлено, что первый этап загрузки шелл-кода совпадает с образцами, ранее приписываемыми другой хакерской группе — OceanLotus. Это свидетельствует о возможной взаимосвязи между Timitator и OceanLotus. Тем временем, Timitator продолжает активно атаковать ключевые китайские учреждения, адаптируя свои методы и инструменты для обхода современных систем защиты. Использование новых инструментов на базе Rust, а также подделка подписей свидетельствуют о высокой степени подготовленности и изобретательности злоумышленников. |
Проверить безопасность сайта