Podmioty rządowe w Azji Południowo-Wschodniej będące celem „tylnych drzwi zwycięstwa”

Specjaliści ds. cyberbezpieczeństwa zidentyfikowali nową kampanię szpiegowską dotyczącą cyberprzestępczości, której celem są podmioty dyplomatyczne i rządowe w Azji Południowo-Wschodniej. Chociaż sprawca ataku nie został jeszcze zidentyfikowany, eksperci twierdzą, że prawdopodobnie pochodzą one z Chin, biorąc pod uwagę rodzaj atakowanych podmiotów, a także fakt, że używali oni broni RoyalRoad do tworzenia złośliwych plików RTF. Poza tymi dwoma odkryciami badacze zauważają również, że w ramach tej kampanii wprowadzono zupełnie nową rodzinę złośliwego oprogramowania — Victory Backdoor.

Do ofiar docierano za pośrednictwem e-maili typu spear-phishing, zawierających wspomniany uzbrojony załącznik RTF. Zaskakującą rzeczą w Victory Backdoor jest to, że wydaje się, że był w fazie rozwoju od bardzo dawna – najwcześniejsze wersje ładunku zostały skompilowane ponad trzy lata temu.

Celem Victory Backdoor jest zapewnienie operatorom stałego dostępu do skompromitowanej sieci, a także dyskretne wydobycie z niej danych. Może manipulować plikami, pobierać zrzuty ekranu i zbierać różne szczegóły dotyczące konfiguracji sprzętu i oprogramowania zaatakowanego systemu. Wydaje się, że twórcy szkodliwego oprogramowania zwrócili szczególną uwagę na bezpieczeństwo komunikacji między implantem a serwerem kontrolnym – połączenia te są mocno zaszyfrowane i zamaskowane.

Jak dotąd nie było wystarczających informacji, aby przypisać rozwój i wykorzystanie Victory Backdoor konkretnemu chińskiemu podmiotowi zaawansowanego trwałego zagrożenia (APT), ale naukowcy są przekonani, że przestępcy rzeczywiście działają z Chin.

June 10, 2021

Zostaw odpowiedź