Группировка Cycldek разработала ПО для кражи данных с физически изолированных устройств
"Лаборатория Касперского" выявила, что APT-группировка Cycldek, которая ведет свою деятельность, по крайней мере, с 2013 г., обладает гораздо более сложным набором инструментов, чем предполагалось ранее. Так, эксперты обнаружили вредоносное ПО USBCulprit, которое предназначено для кражи данных из корпоративной сети и дает злоумышленникам возможность проникнуть в отключенные от сети физически изолированные устройства. Этот зловред активен с 2014 г., новые образцы появлялись в 2019 г.
Цели Cycldek (также известной как Goblin Panda, APT 27 и Conimes) - это преимущественно крупные организации и правительственные учреждения в Юго-Восточной Азии. Эксперты "Лаборатории Касперского" пристально следят за ее деятельностью во Вьетнаме, Таиланде, Лаосе. Они обнаружили, что после 2018 г. большинство атак начиналось с фишингового письма с RTF-вложением на политические темы, открытие которого приводило к использованию известных уязвимостей и загрузке зловреда Newcore RAT. Он, в свою очередь, устанавливал вредоносное ПО USBCulprit, которое изучает пути к исполняемым файлам и собирает документы с определенными расширениями, а затем переносит их на подключаемые USB-устройства. Таким образом, можно предположить, что цель зловреда - не подключенные к интернету или физически изолированные устройства, на которые передавать данные можно только с помощью носителей.
При подключении промаркированных USBCulprit флешек зловред или загружает туда украденные данные, или, наоборот, забирает данные, которые были записаны копией USBCulprit на отключенном от сети компьютере в зависимости от конфигурации и полученных команд. Эта программа умеет находить специфические файлы, включая те, которые были недавно изменены, а также расширять свои возможности. Так, ее последние версии могут также исполнять файлы с подключенных USB-носителей.
Таким образом, список собственных инструментов, используемых только Cycldek, достаточно широкий: в него, помимо USBCulprit, входят инструменты для кражи файлов cookie и паролей из баз данных веб-браузера.
