Шпионаж или финансовые интересы? Китайские хакеры RedGolf используют бэкдор KeyPlug в своих последних атаках

• 31 марта, 2023
• 18:30

Спонсируемая китайским государством группа злоумышленников, отслеживаемая под названием RedGolf, была замечена в использовании специального бэкдора «KeyPlug», предназначенного для систем Windows и Linux — это Unix-подобная операционная система (ОС) с открытым исходным кодом, разработанная сообществом для компьютеров, серверов, мейнфреймов, мобильных устройств и встроенных устройств. Linux поддерживается почти на всех основных компьютерных платформах, включая x86, ARM и SPARC , что делает его одной из наиболее широко поддерживаемых операционных систем.

» data-html=»true» data-original-title=»Linux»>Linux.

«RedGolf — это особенно активная спонсируемая китайским государством группа злоумышленников, которая, вероятно, уже много лет действует против широкого круга отраслей по всему миру. RedGolf продемонстрировала способность быстро использовать недавно выявленные уязвимости (например, Log4Shell и ProxyLogon). Группа также имеет опыт разработки и использования большого количества пользовательских семейств вредоносных программ», — сообщила
компания Recorded Future — это американская компания, которая использует искусственный интеллект и машинное обучение для сбора и анализа информации из открытых источников, таких как новости, социальные сети, блоги, форумы и т.д. Она предоставляет своим клиентам инструменты для принятия решений на основе анализа больших объемов данных, что позволяет им предсказывать события, риски и тренды в различных областях, включая кибербезопасность, финансы, государственную безопасность и т.д.

» data-html=»true» data-original-title=»Recorded Future»>Recorded Future.

Использование KeyPlug китайскими злоумышленниками было впервые раскрыто компанией Mandiant — это компания, которая занимается информационной безопасностью и аналитикой инцидентов. Она специализируется на обнаружении и решении вопросов, связанных с киберпреступностью, таких как взломы, шпионаж, вредоносное ПО и кибертерроризм. Компания предлагает широкий спектр услуг, включая аналитику инцидентов, консультационные услуги, создание и тестирование систем защиты, а также обучение и поддержку.
Компания также сотрудничает с правоохранительными органами по всему

» data-html=»true» data-original-title=»Mandiant»>Mandiant, в марте 2022 года в ходе атак, направленных на правительственные сети США. Затем, в октябре 2022 года, специалисты Malwarebytes — это американская компания, которая специализируется на создании и продаже программного обеспечения для борьбы с вредоносным ПО и киберугрозами.
Основной продукт компании — это антивирусное ПО Malwarebytes Anti-Malware, которое используется для обнаружения и удаления различных видов вредоносных программ, включая вирусы, трояны, черви, руткиты и другие угрозы.
Malwarebytes также предлагает другие продукты для защиты от киберугроз, такие как анти-эксплоиты, анти-вымогатели и т.п.

» data-html=»true» data-original-title=»Malwarebytes»>Malwarebytes подробно описали целый ряд атак, направленных на государственные учреждения в Шри-Ланке. В них использовался новый имплантат «DBoxAgent» который и использовался для развертывания KeyPlug.

Обе вредоносные кампании тогда были приписаны хакерам Winnti (также известным как APT41, Barium, Bronze Atlas или Wicked Panda). По словам Recorded Future, группировка Winnti «тесно пересекаются» с злоумышленниками RedGolf.

«Мы не наблюдали особой виктимологии в рамках последней активности RedGolf. Однако считаем, что эта деятельность, вероятно, проводится в целях разведки, а не для получения финансовой выгоды», — говорится в публикации Recorded Future

Помимо KeyPlug специалисты Recorded Future отметили использование группой RedGolf операционной инфраструктуры GhostWolf, а также инструментов Cobalt Strike и PlugX. Инфраструктура GhostWolf состоит из 42 IP-адресов, которые функционируют как C2-сервер – это термин, используемый в кибербезопасности, который и означающий командно-контрольный сервер. На C2-сервере обычно находится управляющее ПО, которое позволяет злоумышленнику удаленно контролировать и управлять компьютером жертвы, получать доступ к конфиденциальной информации и проводить другие атаки.
C2-серверы могут быть использованы для проведения различных видов кибератак, таких как кража конфиденциальных данных, шпионаж, распространение вредоносного ПО, проведение DDoS-атак и других.