Государственные органы Юго-Восточной Азии, ставшие мишенью для победы
Специалисты по кибербезопасности определили новую шпионскую кампанию по киберпреступности, нацеленную на дипломатические и правительственные учреждения в Юго-Восточной Азии. Хотя виновник атаки еще не установлен, эксперты сообщают, что они, вероятно, происходят из Китая, учитывая тип объектов, на которые они нацелены, а также тот факт, что они использовали оружие RoyalRoad для создания вредоносных файлов RTF. В дополнение к этим двум выводам исследователи также отмечают, что в этой кампании было представлено совершенно новое семейство вредоносных программ - Victory Backdoor.
К жертвам обращались через целевые фишинговые электронные письма, содержащие вышеупомянутое военное приложение RTF. Что удивительно в Victory Backdoor, так это то, что он, похоже, находился в разработке в течение очень долгого времени - самые ранние версии полезной нагрузки были скомпилированы более трех лет назад.
Цель Victory Backdoor - предоставить операторам постоянный доступ к скомпрометированной сети, а также незаметно извлечь из нее данные. Он может манипулировать файлами, делать снимки экрана и собирать различные сведения о конфигурации оборудования и программного обеспечения скомпрометированной системы. Разработчики вредоносного ПО, похоже, уделили особое внимание безопасности связи между имплантатом и управляющим сервером - эти соединения сильно зашифрованы и запутаны.
Пока нет достаточной информации, чтобы приписать разработку и использование Victory Backdoor конкретному китайскому действующему агенту Advanced Persistent Threat (APT), но исследователи уверены, что преступники действительно действуют из Китая.