Китайские хакеры используют файлы CPL для доставки малвари

Специалисты Palo Alto Networks рассказали о не совсем обычной малвари Reaver, которую применяет китайская кибершпионская группа, известная под именами DynCalc, Numbered Panda или просто APT12. Данная группировка знакома исследователям с 2010-2013 годов и ранее использовала в своих вредоносных кампаниях такую малварь, как бэкдор SunOrcal, RAT Surtr, а также инфостилер EvilGrab.

Сходства Reaver и SunOrcal исследователи обнаружили сразу
Сходства Reaver и SunOrcal исследователи обнаружили сразу

Новый вредонос, который исследователи назвали Reaver, представляет собой бэкдор-троян, предназначенный для сбора и кражи данных с зараженных машин, а также выполнения различных вредоносных команд. Специалисты Palo Alto Networks полагают, что вредоносное семейство существует с 2016 года, но при этом используется весьма ограничено. Так, аналитикам удалось обнаружить лишь десять уникальных образцов малвари и три различные версии вредоноса.

Основной отличительной чертой Reaver, которая больше всего заинтересовала специалистов, является использование файлов CPL (Windows Control Panel), в виде которых выполнен основной пейлоад малвари. По словам специалистов, CPL и подобные техники заражения используют лишь 0,006% угроз. Наиболее заметный всплеск эксплуатации CPL-файлов был отмечен в 2013-2014 года в Бразилии, тогда с их помощью пользователей заражали банковскими троянами.

Пока исследователи не уверены, против кого направлены атаки с использованием Reaver. Учитывая прошлые «заслуги» этой кибершпионской группы, которая предположительно базируется в Китае и в 2016 году вмешивалась в ход президентских выборов на Тайване, целями группировки, скорее всего, являются уйгуры, жители Тибета, приверженцы Фалуньгун, члены китайского демократического движения и так далее.

Источник: xakep.ru




Добавить комментарий

Войти с помощью: