Платим блогерам
Блоги
Блогер
Новое кибероружие производит собой сложное многоэтапное инфицирование, способное избегать обнаружения и анализа

Специалисты по информационной безопасности открыли новое оружие кибершпионажа, автором которого может быть группа SharpPanda. В Security Week считают, что прежде неизвестный бэкдор в Windows открывает удалённый доступ и позволяет собирать большие объёмы данных в режиме реального времени. Это всегда происходит в тот момент, когда в Китае рабочие часы.

Целью злоумышленников является Министерство иностранных дел страны Юго-Восточной Азии. Сначала использовался целенаправленное фишинг по электронной почте с вложенными документами. Ещё раньше злоумышленники для достоверности получили настоящие документы из другого департамента в этом же Министерстве.

В документах используется набор эксплойтов RoyalRoad RTF. Фирма Check Point Research рассказывает, что запуск вложенных файлов приводит к загрузке неизвестного прежде бэкдора.

В документе содержатся встроенные объекты, которые используют уязвимости редактора формул в приложении Word. Это один из первых шагов длительной цепочки инфицирования, которая призвана затруднить обнаружение преступных действий.

Сначала используется метод защиты от песочницы. Устанавливается местное время, собирается информация с компьютера вроде имени хоста, имени и версии ОС, типа системы (32/64 бит), имени пользователя и MAC-адреса сетевых адаптеров. Также ищется антивирусная информация в WMI.

В итоге хакеры определяют, заинтересованы они в конкретном компьютере или нет. Использование подключаемых модулей даёт возможность помимо бэкдора VictoryDll устанавливать другие модули и атаковать компьютеры в любой точке мира.


Источник: news.softpedia.com
4
Показать комментарии (4)

Популярные новости

Сейчас обсуждают