Специалисты компании Mandiant рассказывают о необычной кибершпионской кампании, жертвами которой становятся цели в странах Юго-Восточной Азии. Дело в том, что в качестве начального вектора проникновения злоумышленники используют USB-устройства.
Исследователи пишут, что связывают обнаруженные инциденты с группировкой, которую отслеживают под кодовым именем UNC4191 (предположительно связана с Китаем). Известно, что атаки хакеров затронули ряд организаций государственного и частного секторов, в первую очередь в странах Юго-Восточной Азии, а также в США, Европе и Азиатско-Тихоокеанском регионе. Но в первую очередь злоумышленники концентрируются на Филиппинах.
«Даже когда целевые организации базировались в других местах, определенные системы, на которые нацеливалась UNC4191, тоже оказывались физически расположены на Филиппинах», — пишут исследователи.
Как именно зараженные USB-устройства попадали в руки жертв, эксперты не уточняют. Стоит сказать, что вариантов здесь может быть много. К примеру, в начале текущего года ФБР предупреждало, что хакеры попросту рассылают вредоносные USB-девайсы по почте, в надежде на любопытство сотрудников компаний-жертв. Таким образом они стремятся заразить системы организаций и получить исходную точку для дальнейших атак. К тому же, никто не отменял, например, старое доброе разбрасывание флешек на парковках.
После первоначального заражения систем через USB-устройство, хакеры используют бинарники с легитимными подписями для загрузки вредоносных программ на компьютеры жертв. Так, эксперты выявили сразу три новых семейства малвари, которым присвоили названия MISTCLOAK, DARKDEW и BLUEHAZE.
Эти вредоносы создают реверс-шелл в системе жертвы, по сути предоставляя хакерам бэкдор. Затем малварь начинает размножаться самостоятельно, заражая любые новые съемные диски, подключенные к скомпрометированным машинам, что позволяет вредоносам проникать даже в изолированные от внешних сетей и оборудования системы.
«Учитывая червеобразный характер этого вредоносного ПО, мы смогли обнаружить только более поздние стадии распространения этого угрозы», — признают исследователи.
Пока в компании пришли в выводу, что обнаружили операцию китайской хак-группы, цель которой — получение и сохранение доступа к государственным и частным организациям, «в целях сбора разведданных, связанных с политическими и коммерческими интересами КНР».
