Китайские хакеры из группировок APT27 и APT31 атакуют Россию
Для хакерской кампании EastWind используют популярные сервисы GitHub, Dropbox и Quora, а также российские «Живой Журнал» и «Яндекс Диск».
Специалисты по кибербезопасности из «Лаборатории Касперского» сообщают о новой серии целевых кибератак на десятки компьютеров российских государственных организаций и IT-компаний. В этой хакерской кампании, получившей название East Wind, засветилось вредоносное ПО от двух различных китаеязычных крупных группировок: APT27 и APT31.
Чтобы замаскировать вредоносный трафик, хакеры используют в качестве командных серверов популярные сетевые сервисы — GitHub, Dropbox, Quora, а также российские «Живой Журнал» и «Яндекс Диск».
Выявить их непросто: каждый из элементов-троянцев требует отдельный набор индикаторов компрометации. В частности:
чтобы выявить работу бэкдора, распространяемого через электронную почту и использующего Dropbox для взаимодействия со злоумышленниками, можно провести поиск сравнительно больших по размеру (более 5 МБ) DLL-файлов, расположенных внутри директории C:\Users\Public. О работе этого бэкдора может также свидетельствовать регулярное обращение к облаку Dropbox в сетевом трафике;
троянец GrewApacha группировки APT31 может быть обнаружен поиском неподписанного файла с именем msedgeupdate.dll на файловой системе. Размер этого файла также составляет несколько мегабайт;
имплант PlugY, доставляемый при помощи бэкдора CloudSorcerer, в ходе своей работы запускает процесс с именем msiexec.exe для каждого вошедшего в систему пользователя, а также создаёт именованные каналы с шаблоном имени \.\PIPE\Y<число>. Присутствие этих двух индикаторов на системе с высокой степенью уверенности свидетельствует о заражении.
В целом же специалисты по кибербезопасности советуют использовать для своих компаний и структур защитные решения из официальных источников, регулярно обновлять их, а так же обучать базовой кибербезопасности сотрудников, чтобы они игнорировали фишинговые письма, подозрительные ссылки и файлы.