Китайские кибершпионы на протяжении пяти лет атакуют иностранные правительства
Израильская компания по кибербезопасности Check Point обнаружила новый китайский инструмент для кибершпионажа, который направлен на иностранные правительства.
Специалисты Check Point зафиксировали текущую кампанию по кибершпионажу, нацеленную на правительственные организации в Австралии, Индонезии, Филиппинах, Вьетнаме, Таиланде, Мьянме и Брунее. Как отметили эксперты, связанная с китайскими военными киберпреступная группировка Naikon APT оставалась незамеченной в течение как минимум пяти лет и все еще продолжает осуществлять атаки.
Naikon APT, являвшаяся одной из самых активных группировок в Азии до 2015 года, провела серию кибератак в Азиатско-Тихоокеанском регионе. Naikon APT действовала на протяжении последних пяти лет и использовала новый бэкдор под названием Aria-body. Как пояснили исследователи, целью группировки является сбор разведданных и шпионаж за правительствами целевых стран. Он был обнаружен после того, как использовался для нацеливания на работника в офисе премьер-министра Австралии Скотта Моррисона.
RAT Aria-body способен создавать и удалять файлы и каталоги, делать скриншоты, выполнять поиск файлов, собирать метаданные файлов, информацию о системе и местоположении. Некоторые последние версии Aria-body также оснащены возможностями для кейлоггинга и загрузки других расширений а также способны выполнять и другие команды.
"Это включает в себя не только обнаружение и кражу определенных документов с зараженных компьютеров и сетей внутри правительственных учреждений, но также извлечение съемных дисков с данными, создание скриншотов, кейлоггинг, и сбор хищение данных", - пояснили эксперты.
В качестве начального вектора атаки Naikon APT отправляет электронные письма с вредоносными вложениями в правительственные учреждения высшего уровня, а также гражданские и военные организации. Письма после открытия устанавливали шпионское ПО, которое отправляло конфиденциальные данные на C&C-серверы.
Эксперты отметили, что тактика с использованием RoyalBlood также применялась группировкой Vicious Panda в ходе кампании против правительственных учреждений Монголии.