ΑρχικήsecurityΚινέζοι χάκερς στοχεύουν Ευρώπη και Θιβέτ με το Sepulcher malware!

Κινέζοι χάκερς στοχεύουν Ευρώπη και Θιβέτ με το Sepulcher malware!

Κινέζοι χάκερς στοχεύουν τις διπλωματικές οντότητες στην Ευρώπη και την κοινότητα του Θιβέτ με το ίδιο στέλεχος malware. Οι Κινέζοι χάκερς που είναι γνωστοί ως ομάδα APT TA413, είχαν προηγουμένως συνδεθεί με τα LuckyCat και ExileRAT malware, ενώ δραστηριοποιούνται εδώ και μια περίπου δεκαετία και πιστεύεται ότι είναι υπεύθυνοι για μια σειρά επιθέσεων που έχουν ως στόχο την κοινότητα του Θιβέτ. Συγκεκριμένα, σε μια έκθεση που δημοσιεύθηκε χθες, οι ερευνητές ασφαλείας της Proofpoint αποκάλυψαν μια σύνδεση μεταξύ των επιθέσεων που εκμεταλλεύονται την πανδημία του COVID-19 – στέλνοντας email τα οποία υποτίθεται ότι προέρχονται από τον Παγκόσμιο Οργανισμό Υγείας (ΠΟΥ), για την παράδοση του Sepulcher malware σε οικονομικές, διπλωματικές και νομοθετικές οντότητες στην Ευρώπη – με επιθέσεις που έχουν ως στόχο την κοινότητα του Θιβέτ, για την παράδοση του malware που συνδέεται με το LuckyCat και το ExileRAT. Η εκμετάλλευση του COVID-19 και η χρήση του ως “δολώματος” από κινεζικές ομάδες APT σε εκστρατείες κατασκοπείας, είναι μία τάση που παρατηρήθηκε σε μεγάλο βαθμό στο πεδίο των απειλών κατά το πρώτο εξάμηνο του 2020.


Μία εκστρατεία που παρατηρήθηκε τον Ιούλιο με στόχο τους Θιβετιανούς αντιφρονούντες, προσπαθούσε να παραδώσει το ίδιο Sepulcher malware από την ίδια υποδομή, με ορισμένες από τις χρησιμοποιούμενες διευθύνσεις email να είναι ίδιες με εκείνες που είχαν χρησιμοποιηθεί στο παρελθόν, σε επιθέσεις που παραδίδουν το ExileRAT. Το γεγονός αυτό υποδηλώνει ότι και οι δύο εκστρατείες είναι έργο της ομάδας APT TA413.


Σύμφωνα με τους ερευνητές της Proofpoint, παρά το γεγονός ότι αυτοί οι χάκερς είναι κυρίως γνωστοί για τις εκστρατείες τους κατά της θιβετιανής διασποράς, φαίνεται να εστίασαν τώρα στη συλλογή πληροφοριών γύρω από τις δυτικές οικονομίες που επλήγησαν από τον COVID-19 τον Μάρτιο του 2020.

Κινέζοι χάκερς vs Ευρώπη-Θιβέτ

Έχοντας ως στόχο διπλωματικές, νομοθετικές και οικονομικές οντότητες στην Ευρώπη, αλλά και ΜΚΟ, η εκστρατεία του Μαρτίου προσπάθησε να εκμεταλλευτεί ένα σφάλμα του Microsoft Equation Editor για να παραδώσει το προηγούμενο μη αναγνωρισμένο Sepulcher malware.
Επιπλέον, η εκστρατεία του Ιουλίου χρησιμοποίησε ένα κακόβουλο συνημμένο PowerPoint (PPSX) που δημιουργήθηκε για να μεταφέρει το ίδιο malware και η Proofpoint τη συνέδεσε με μια εκστρατεία του Ιανουαρίου του 2019 που χρησιμοποίησε τον ίδιο τύπο συνημμένων για να μολύνει τα θύματα με το ExileRAT malware.

Οι ερευνητές ανέφεραν ότι το στοιχείο που συνδέει τις επιθέσεις είναι η επαναχρησιμοποίηση των ίδιων διευθύνσεων email, πράγμα που υποδηλώνει ότι ο ίδιος κακόβουλος παράγοντας βρίσκεται πίσω από όλες αυτές τις εκστρατείες. Πρόσθεσαν, ακόμη, ότι η χρήση μίας μόνο διεύθυνσης email από πολλούς αντιπάλους, για διάστημα αρκετών ετών, είναι απίθανη, παρόλο που δεν είναι αδύνατο πολλές ομάδες APT να χρησιμοποιούν έναν λογαριασμό χειριστή (διεύθυνση αποστολέα) έναντι διαφορετικών στόχων σε διαφορετικές εκστρατείες.

Κινέζοι χάκερς

Σύμφωνα με τους ερευνητές, είναι σχεδόν απίθανο αυτός ο αποστολέας να επαναχρησιμοποιηθεί μετά από αρκετά χρόνια, να συμβεί δύο φορές σε μια περίοδο τεσσάρων μηνών μεταξύ Μαρτίου και Ιουλίου, και με τις δύο περιπτώσεις να παραδίδουν την ίδια οικογένεια Sepulcher malware. Οι ερευνητές θεωρούν επίσης ότι η παγκόσμια κρίση ίσως ήταν αυτή που ανάγκασε τους χάκερς να επαναχρησιμοποιήσουν την υποδομή.

Συνοπτικά, το Sepulcher malware μπορεί, με βάση τις ληφθείσες εντολές, να συλλέξει πληροφορίες σχετικά με μονάδες δίσκου, αρχεία, καταλόγους, τρέχουσες διαδικασίες και υπηρεσίες, μπορεί να χειριστεί καταλόγους και αρχεία, να μεταφέρει την πηγή αρχείων στον προορισμό, να τερματίσει διαδικασίες, να επανεκκινήσει και να διαγράψει υπηρεσίες και πολλά άλλα.

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS