Правительственные и военные организации во Вьетнаме подверглись кибератакам в июне 2020 г
Её конечной целью была установка инструмента удалённого администрирования, который обеспечивал полный контроль над заражённым устройством.
Зачастую китайскоязычные APT-группировки делятся методиками друг с другом. Это позволяет исследователям «Лаборатории Касперского» проще выявлять целевые атаки, за которыми стоят широко известные LuckyMouse, HoneyMyte и Cycldek. Изучая новую кампанию кибершпионажа, эксперты сразу обратили внимание на тактики, применяемые против правительственных и военных организаций во Вьетнаме, в частности — на подмену динамически загружаемых библиотек для запуска вредоносного кода.
Используемый злоумышленниками способ защиты вредоносного кода от анализа демонстрирует, что техники APT-группировок Азиатско-Тихоокеанского региона совершенствуются. Заголовки исполняемых файлов финальных троянцев были полностью удалены, а оставшиеся содержали бессмысленные значения. Таким образом атакующие значительно затрудняют экспертам исследование вредоносного ПО. Помимо этого, компоненты цепи заражения были тесно связаны, а значит, отдельные фрагменты трудно и иногда невозможно анализировать изолированно, вне общей картины вредоносной активности.
Исследователи «Лаборатории Касперского» обнаружили, что в ходе атак загружались ещё две вредоносные программы. Первая — DropPhone — собирала информацию о том, что происходило на заражённом устройстве, и отправляла её в DropBox. Вторая — CoreLoader — запускала код, который помогал вредоносному ПО избегать обнаружения защитными решениями.
Кампания кибершпионажа затронула десятки компьютеров, 80% из них находились во Вьетнаме. В большинстве случаев атакам подвергались правительственные и военные организации, а также учреждения, связанные со здравоохранением, дипломатией, образованием или политикой. Кроме того, были выявлены редкие случаи целевых атак в Центральной Азии и Таиланде.
«Вредоносная программа, использованная в последних атаках, имеет сходство со зловредом RedCore, который мы обнаружили в прошлом году. Не без доли сомнения мы считаем, что за новой кампанией кибершпионажа стоит Cycldek. Ранее она казалась нам наименее изобретательной APT-группировкой, действующей в Азиатско-Тихоокеанском регионе, однако её недавняя активность демонстрирует совершенствование техник и значительный прогресс, — комментирует Марк Лехтик, старший эксперт команды GReAT. — Сейчас можно подумать, что эта кампания кибершпионажа представляет собой локальную угрозу, однако есть вероятность, что в будущем зловред FoundCore появится и в других регионах».