Хакерская группа Sharp Panda, занимающаяся кибершпионажем, нацелена на высокопоставленные правительственные учреждения во Вьетнаме, Таиланде и Индонезии с помощью новой версии вредоносного ПО под названием Soul.
Специалисты Check Point Software Technologies Ltd. – это компания, специализирующаяся на разработке и поставке продуктов и решений в области кибербезопасности для защиты компьютерных сетей, серверов и мобильных устройств от различных видов киберугроз. Она является одним из лидеров в отрасли кибербезопасности.
Компания предлагает решения для защиты от различных угроз, таких как вредоносные программы, хакерские атаки, кибершпионаж, атаки на приложения и многое другое.
» data-html=»true» data-original-title=»CheckPoint»>CheckPoint выявили новую кампанию с использованием этого ПО. Она началась в конце 2022 года и продолжается до сих пор. Для первоначальной компрометации злоумышленники применяют целевые фишинговые атаки.
По целому ряду признаков CheckPoint смогла приписать последнюю шпионскую операцию китайским хакерам, поддерживаемым государством. Тактики, методы и используемые инструменты соответствуют ранее замеченным действиям группировки Sharp Panda.
В своей новой вредоносной кампании Sharp Panda использует фишинговые электронные письма с вредоносными вложениями в виде файлов формата «.docx». Они нужны для развёртывания набора RoyalRoad и компрометации системы путём известных уязвимостей. Эксплойт создаёт запланированную задачу, а затем скачивает и запускает загрузчик вредоносных DLL — (с англ. Dynamic Link Library, динамически подключаемая библиотека) это библиотека, содержащая код и данные, которые могут использоваться несколькими программами одновременно.
» data-html=»true» data-original-title=»DLL»>DLL, который, в свою очередь, загружает сам загрузчик SoulSearcher.
Схема действия вредоносного ПО Soul в последней кампании Sharp Panda
При запуске основной модуль вредоносной программы Soul устанавливает соединение с C2-сервером и ждёт загрузки дополнительных модулей, расширяющих его функциональность.
Новая версия Soul, проанализированная специалистами CheckPoint, имеет интересный режим «радиомолчания», который позволяет злоумышленникам указывать определенные дни недели и время суток, когда Бэкдор — это тип вредоносного ПО, которое сводит на нет обычные процедуры аутентификации для доступа к системе. В результате предоставляется удаленный доступ к ресурсам внутри приложения, таким как базы данных и файловые серверы, что дает злоумышленникам возможность удаленно выполнять системные команды и обновлять вредоносное ПО.