19.10.2022 | Китайские кибершпионы год скрывались во взломанных сетях правительственных учреждений Гонконга |
Исследователи из Symantec сообщили о серии атак, приписываемых группировке APT41 (также известной как Winnti), которая взломала правительственные учреждения Гонконга и в некоторых случаях оставались незамеченными в течение года. В ходе атак хакеры использовали вредоноса Spyder Loader – это их “визитная карточка”, которой они ранее пользовались и в других атаках. Атаки APT41 связывают с хакерской операцией под названием “Operation CuckooBees”, которая проводилась с 2019 года и была направлена на технологические и производственные компании в Северной Америке, Восточной Азии и Западной Европе. В ходе операции CuckooBees группировка использовала новую версию бэкдора Spyder Loader, которая сохранила старые особенности вредоноса:
Начальный этап заражения тоже не изменился. Spyder Loader загружает на устройство жертвы BLOB-объекты, зашифрованные с помощью AES. Затем эти объекты создают полезную нагрузку под названием "wlbsctrl.dll". Кроме Spyder Loader APT41 начала использовать:
И хотя Symantec не удалось получить конечную полезную нагрузку, специалисты поняли мотив хакеров – сбор ценной информации о правительственных организациях в Гонконге. |
Проверить безопасность сайта