14.10.2023 | Вам письмо: как изобретательные хакеры ToddyCat пробираются в системы азиатских компаний |
Исследователи выявили масштабную кампанию под названием «Stayin’ Alive», нацеленную на правительственные организации и телекоммуникационные компании ряда азиатских стран. По данным специалистов из Check Point Software Technologies, атаки ведутся с 2021 года и по сей день группировкой китайских хакеров ToddyCat. Основные жертвы находятся в Казахстане, Узбекистане, Пакистане и Вьетнаме. Злоумышленники подходят к делу творчески: зачастую они разрабатывают уникальные инструменты для каждой жертвы, чтобы исследователям было труднее связать инциденты друг с другом. Это также помогает эффективнее обходить механизмы защиты. В разработке учитывается множество индивидуальных характеристик: масштабы организации, язык, регион и.т.д. Атака, как правило, начинается с таргетированной рассылки фишинговых электронных писем. Во вложениях содержатся ZIP-архивы с вредоносными исполняемыми файлами с цифровой подписью. Эти файлы маскируются под безобидные документы: договоры, счета на оплату, коммерческие предложения. При запуске вредоносного кода злоумышленники эксплуатируют уязвимость CVE-2022-23748 в программном обеспечении Audinate Dante Discovery. Этот баг позволяет незаметно загрузить программу CurKeep, минуя стандартные средства обнаружения. CurKeep представляет собой бэкдор размером 10 Кб, который устанавливает постоянное присутствие в системе, собирает данные и ждёт команд от хакеров. В атаках также задействуются различные загрузчики типа CurLu, CurCore и CurLog. Именно с их помощью выполняется произвольный код и загружаются дополнительные зловредные модули. Один из самых изощрённых инструментов — бэкдор StylerServ, который незаметно отслеживает сетевой трафик на пяти портах (с 60810 по 60814) и скачивает зашифрованный конфигурационный пакет stylers.bin с дальнейшими инструкциями. Эксперты Check Point предупреждают, что злоумышленники постоянно совершенствуют свои методы, поэтому реальные масштабы компании могут оказаться гораздо шире. Несмотря на различия в исходном коде используемых инструментов, все они подключаются к единой инфраструктуре управления и контроля. То, что эта инфраструктура принадлежит именно ToddyCat, ранее установила команда лаборатории Касперского . |
Проверить безопасность сайта