Σάββατο, 16 Ιανουαρίου, 05:23
Αρχική security Κινέζοι χάκερ κατηγορούνται για την εξάπλωση του MgBot Trojan

Κινέζοι χάκερ κατηγορούνται για την εξάπλωση του MgBot Trojan

Μια κινεζική ομάδα ευθύνεται για την εξάπλωση της νέας παραλλαγής του malware MgBot Trojan σε ολόκληρη την Ινδία και το Χονγκ Κονγκ.

Σύμφωνα με τους ερευνητές του Malwarebytes, Hossein Jazi και Jérôme Segura, τα phishing έγγραφα που χρησιμοποιήθηκαν για την διασπορά του malware, που συσχετίζονται με τις εντάσεις στο Χονγκ Κονγκ και την Κίνα, δείχνουν ότι μια κινεζική ομάδα επιθέσεων στον κυβερνοχώρο – που δραστηριοποιείται από το 2014 – είναι πιθανό να βρίσκεται πίσω από την επίθεση.

Σε μια δημοσίευση σε ένα blog την Τρίτη, οι ερευνητές της κυβερνοασφάλειας δήλωσαν ότι ένα archive file που είχε μεταμφιεστεί ως επικοινωνία από την κυβέρνηση της Ινδίας εντοπίστηκε στις 2 Ιουλίου.

MgBot Trojan

Το phishing έγγραφο διέσπειρε αρχικά μια παραλλαγή του Cobalt Strike, ενός νόμιμου εργαλείου penetration testing το οποίο μπορούν να καταχραστούν οι απειλητικοί παράγοντες. Ωστόσο, την ίδια ημέρα, το template άλλαξε για να μεταφέρει έναν loader για το MgBot, ένα Trojan Remote Access (RAT).

Στις 5 Ιουλίου, βρέθηκαν επιπρόσθετα phishing έγγραφα που είχαν “φορτωθεί” με το MgBot, στις δηλώσεις του πρωθυπουργού του Ηνωμένου Βασιλείου, Μπόρις Τζόνσον, σχετικά με την τρέχουσα πολιτική κατάσταση μεταξύ Κίνας και Χονγκ Κονγκ.

Πιστεύεται ότι η ομάδα χρησιμοποιεί την τακτική των spear phishing emails σε στοχευμένες επιθέσεις εναντίον πολιτικών οντοτήτων και ατόμων.

“Τα θέλγητρα που χρησιμοποιούνται σε αυτήν την εκστρατεία δείχνουν ότι ο απειλητικός παράγοντας μπορεί να στοχεύει την ινδική κυβέρνηση και άτομα στο Χονγκ Κονγκ, ή τουλάχιστον εκείνους που αντιτίθενται στον νέο νόμο περί ασφάλειας που εκδίδει η Κίνα”, λέει η ομάδα.

Εάν ένα θύμα κάνει λήψη του phishing εγγράφου και ενεργοποιήσει τις μακροεντολές, το payload αναπτύσσεται και εκτελείται, μεταμφιεσμένο ως εργαλείο Realtek Audio Manager. Το τελικό payload διασπείρεται μέσω της υπηρεσίας διαχείρισης εφαρμογών (AppMgmt) στα Windows.

Το MgBot μπορεί να συνδέσει έναν διακομιστή εντολών και ελέγχου (C2) για να μεταφέρει δεδομένα κλεμμένων συσκευών, να τραβήξει screenshot, να απενεργοποιήσει και να δημιουργήσει διεργασίες, να δημιουργήσει πόρους Mutex και να χρησιμοποιήσει μηχανισμούς persistence.

Οι συγγραφείς του malware προσπάθησαν επίσης να σταματήσουν την ανάλυση του κακόβουλου κώδικα μέσω της εφαρμογής μεθόδων anti-analysis και anti-virtualization. Αυτά περιλαμβάνουν την αυτο-τροποποίηση του κώδικα, ελέγχους για υπάρχοντα προϊόντα antivirus και σάρωση για εικονικά περιβάλλοντα όπως το VirtualBox. Εάν εντοπιστεί ένα sandbox, το MgBot Trojan δεν εκτελεί κακόβουλη δραστηριότητα.

Οι διακομιστές C2 και οι διευθύνσεις IP που συνδέονται με το κακόβουλο λογισμικό έχουν όλες σχεδόν ως βάση τους το Χονγκ Κονγκ. Η κωδικοποίηση σε απλά κινέζικα υποδηλώνει ότι το κακόβουλο λογισμικό είναι έργο ομιλητών της κινεζικής γλώσσας.

Κατά τη διάρκεια της εξέτασης του C2, το Malwarebytes βρήκε επίσης πολλά κακόβουλα APK Android που πιστεύεται ότι αποτελούν μέρος της εργαλειοθήκης του APT. Οι εφαρμογές περιέχουν ένα ενσωματωμένο Trojan ικανό να καταγράφει εικόνα και ήχο από smartphone, να εντοπίζει την τοποθεσία ενός τηλεφώνου αφού έχει κλέψει τα δεδομένα GPS, να κλέβει επαφές τηλεφώνου, αρχεία καταγραφής κλήσεων, μηνύματα SMS και το ιστορικό του ιστού, καθώς και να στέλνει μηνύματα SMS χωρίς άδεια.

Το Malwarebytes πιστεύει ότι η ομάδα που είναι υπεύθυνη για αυτό το κύμα επιθέσεων δεν συνεργάζεται με τις Rancor ή APT40, καθώς το APT χρησιμοποιούσε πάντα μια παραλλαγή του MgBot Trojan σε κάθε καμπάνια που έχει εντοπιστεί – τουλάχιστον, μέχρι τώρα.

“Λαμβάνοντας υπόψη τις συνεχιζόμενες εντάσεις μεταξύ της Ινδίας και της Κίνας, καθώς και τους νέους νόμους περί ασφάλειας στο Χονγκ Κονγκ, πιστεύουμε ότι αυτή η νέα εκστρατεία λειτουργεί από έναν hacker που χρηματοδοτείται από την Κινεζική κυβέρνηση”, λέει το Malwarebytes. “Λαμβάνοντας υπόψη αυτούς τους παράγοντες αποδίδουμε αυτήν την επίθεση με κάθε επιφύλαξη σε μια νέα κινεζική ομάδα APT.”

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Android: Πώς να δείτε ποια apps έχουν πρόσβαση στην τοποθεσία σας

Δεν είναι μυστικό ότι οι εφαρμογές smartphone έχουν τη δυνατότητα πρόσβασης σε πολλά δικαιώματα — εάν τις αφήσετε. Είναι σημαντικό να βεβαιωθείτε...

Η Canon σας επιτρέπει να «τραβάτε φωτογραφίες» από το διάστημα

Αντί να κυκλοφορήσει νέες κάμερες για το CES 2021, η Canon κάνει κάτι διαφορετικό: Σας επιτρέπει να τραβάτε φωτογραφίες από το διάστημα....

Wikipedia vs Big tech: Ποιος πολεμάει την παραπληροφόρηση;

Καθώς η Ημέρα των Εκλογών μετατράπηκε σε Εβδομάδα Εκλογών στις ΗΠΑ, το Facebook, το Twitter και το YouTube προσπαθούσαν να αποτρέψουν την...
00:02:36

Tesla: Καλείται να ανακαλέσει αυτοκίνητα λόγω προβληματικών οθονών

H οθόνη αφής (touchscreen) σε ορισμένα αυτοκίνητα της Tesla φαίνεται να έχει κάποιο πρόβλημα, που θα μπορούσε...

Τα ransomware ευθύνονται για τις μισές παραβιάσεις δεδομένων σε νοσοκομεία

Σχεδόν οι μισές από τις παραβιάσεις δεδομένων που έγιναν σε νοσοκομεία και στον ευρύτερο τομέα της υγειονομικής περίθαλψης οφείλονται σε επιθέσεις ransomware,...

Οι αστρονόμοι μόλις βρήκαν την παλαιότερη υπερμεγέθη μαύρη τρύπα

Ένα κβάζαρ (quasar) ανακαλύφθηκε σε μια σκοτεινή γωνία του διαστήματος - πάνω από 13,03 δισεκατομμύρια έτη φωτός μακριά - και περιέχει μια...

Ποια είναι τα καλύτερα και πιο προσιτά τηλέφωνα 5G για το 2021

Σύντομα η αγορά θα κατακλιστεί με συσκευές 5G μεσαίας κατηγορίας. Όλο αυτό που θα συμβεί θα είναι πραγματικά συναρπαστικό: θα μπορείτε να...

Παραβιάστηκαν επαληθευμένα Twitter accounts σε cryptocurrency scam με το όνομα του Elon Musk!

Το τελευταίο διάστημα, χάκερς παραβιάζουν επαληθευμένα Twitter accounts σε cryptocurrency giveaway scam (απάτη δωρεάς κρυπτονομισμάτων), στο οποίο χρησιμοποιείται το όνομα του CEO...

Classiscam: Απατεώνες «πλαστογραφούν» brands κι εξαπατούν χρήστες Ευρωπαϊκών αγορών!

Δεκάδες εγκληματικές συμμορίες δημοσιεύουν ψεύτικες διαφημίσεις σε δημοφιλείς online αγορές, για να προσελκύσουν ανυποψίαστους χρήστες σε «δόλια» εμπορικά sites ή σε phishing...

iOS 14.4: Θα εμφανίζει ειδοποίηση για τις επισκευές με μη γνήσιες κάμερες

Ξεκινώντας από το iPhone 11, η Apple έχει προσθέσει μια ειδοποίηση στο iOS που λέει στον χρήστη πότε η συσκευή διαθέτει μια...