Cycldek APT разработала вредонос для атак на физически изолированные системы
4 июня 2020 года
Китайскоязычная киберпреступная группировка Cycldek (также известная как Goblin Panda или Conimes) разработала вредоносный инструмент USBCulprit для осуществления атак на физически изолированные системы и хищения конфиденциальных данных.
«Один из недавно обнаруженных инструментов называется USBCulprit. Он полагается на USB-носители для хищения данных жертвы. Это может указывать на то, что Cycldek пыталась получить доступ к физически изолированным сетям в среде жертвы», — сообщили эксперты из «Лаборатории Касперского».
В ходе анализа вредоносного ПО NewCore RAT, которое злоумышленники использовали в кибератаках, специалисты выявили два разных варианта (BlueCore и RedCore) с некоторыми сходствами как в коде, так и в инфраструктуре. RedCore также содержит кейлоггер и RDP-логгер, которые собирают информацию о пользователях, подключенных к системе через RDP.
BlueCore и RedCore загружали множество дополнительных инструментов для облегчения перемещения по сети (HDoor) и извлечения информации (JsonCookies и ChromePass) из скомпрометированных систем. Главным среди них являлось вредоносное ПО USBCulprit, которое способно сканировать несколько путей, собирая документы с определенными расширениями (.pdf,.Doc,.Wps, .docx,.ppt,.Xls,.Xlsx,.pptx,.rtf) и экспортировать их на подключенный USB-накопитель.
Механизм заражения основан на использовании вредоносных двоичных файлов, замаскированных под легитимные антивирусные компоненты, для загрузки USBCulprit с помощью техники перехвата поиска DLL (DLL Search Order Hijacking).
Cycldek, впервые обнаруженная в 2013 году, атакует в основном оборонные, энергетические и государственные предприятия в Юго-Восточной Азии, в частности во Вьетнаме. Преступники используют вредоносные документы для эксплуатации уязвимостей (CVE-2012-0158, CVE-2017-11882, CVE-2018-0802 и пр.) в Microsoft Office и установки вредоноса NewCore.
Источники[править]
| Эта статья содержит материалы из статьи «Cycldek APT разработала вредонос для атак на физически изолированные системы», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
