Κινέζοι hackers πραγματοποιούν συνεχείς κυβερνοεπιθέσεις με στόχο την κυβέρνηση του Αφγανιστάν, χρησιμοποιώντας ως δόλωμα τον πρόεδρο της χώρας, Ashraf Ghani.
Την Πέμπτη, η Check Point Research (CPR) ανέφερε ότι το Γραφείο του Προέδρου του Αφγανιστάν, που εκπροσωπεί τον Πρόεδρο Ashraf Ghani, χρησιμοποιείται ως δόλωμα σε μια phishing εκστρατεία που στοχεύει στην απόκτηση πρόσβασης σε κυβερνητικές υπηρεσίες της χώρας. Μια από τις phishing επιθέσεις που στόχευσε το Αφγανικό Συμβούλιο Εθνικής Ασφάλειας (NSC) ήταν επιτυχημένη και οι Κινέζοι hackers παραβίασαν τα συστήματα.
Δείτε επίσης: Ιαπωνικές κυβερνητικές υπηρεσίες παραβιάστηκαν μέσω hack στη Fujitsu
Πιστεύεται ότι πίσω από τις phishing επιθέσεις στο Αφγανιστάν βρίσκεται μια APT ομάδα, που ονομάζεται IndigoZebra.
Τα δείγματα των phishing μηνυμάτων που είδαν οι ερευνητές, προέρχονται υποτίθεται από το γραφείο του Προέδρου του Αφγανιστάν και ζητούν επείγουσα επανεξέταση των τροποποιήσεων σε ένα έγγραφο σχετικά με μια επερχόμενη συνέντευξη τύπου.
Δείτε επίσης: Κινέζοι χάκερς ανέπτυσσαν επί 3 χρόνια backdoor για να κατασκοπεύσουν κυβερνήσεις
Το αρχείο που είναι συνημμένο στο email, προστατεύεται με κωδικό πρόσβασης και είναι ένα .RAR archive με το όνομα NSC Press conference.rar. Εάν το θύμα ανοίξει το αρχείο, λαμβάνει ένα εκτελέσιμο Windows (NSC Press conference.exe), το οποίο αναπτύσσει ένα malware dropper και το “xCaon” backdoor, που διατηρεί persistence, ορίζοντας ένα registry key.
Το backdoor μπορεί να κατεβάσει και να ανεβάσει αρχεία, να εκτελέσει εντολές και να κλέψει δεδομένα.
Οι Κινέζοι hackers καταχρώνται και το Dropbox ως μορφή C2 server στην τελευταία έκδοση αυτού του backdoor, που ονομάστηκε “BoxCaon” από την Check Point Research.
Η εταιρεία ασφαλείας λέει ότι χρησιμοποιώντας το Dropbox API, οι hackers “αποκρύπτουν τις κακόβουλες δραστηριότητές τους“.
Η hacking ομάδα IndigoZebra αναπτύσσει, επίσης, ένα NetBIOS εργαλείο σάρωσης που έχει υιοθετηθεί από άλλη κινεζική APT ομάδα, την APT10 ή Stone Panda, για στόχευση και άλλων θυμάτων.
Δείτε επίσης: Ρώσοι χάκερς πίσω από μαζική εκστρατεία spear-phishing που «χτύπησε» την Ουκρανία
Το κακόβουλο λογισμικό που χρησιμοποιείται από τους Κινέζους hackers περιλαμβάνει, επίσης, τα Meterpreter, Poison Ivy, xDown και xCaon backdoor.
Η Check Point Research αναφέρει ότι η εν λόγω APT ομάδα είναι πιθανότατα υπεύθυνη και για επιθέσεις που χρονολογούνται από το 2014 και οι οποίες είχαν στοχεύσει πολιτικές οντότητες στο Κιργιζιστάν και το Ουζμπεκιστάν.
Οι ερευνητές σχολίασαν ότι οι phishing επιθέσεις στην κυβέρνηση του Αφγανιστάν δείχνουν ότι οι Κινέζοι hackers IndigoZebra συνεχίζουν δυναμικά τις επιθέσεις τους και επεκτείνονται σε νέους στόχους, με ένα νέο σύνολο εργαλείων.
Πηγή: ZDNet