Китайские хакеры атакуют скрипт-кидди - «Новости» » Интернет технологии
sitename
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Китайские хакеры атакуют скрипт-кидди - «Новости»

Эксперты Check Point обнаружили новую кампанию китайской хак-группы Tropic Trooper, в рамках которой применяются новый загрузчик Nimbda и новый вариант трояна Yahoyah. Малварь скрывается в инструменте с говорящим названием SMS Bomber, рассчитанном на «начинающих» злоумышленников.


SMS Bomber, как можно понять из названия, позволяет ввести номер телефона, который нужно «засыпать» сообщениями и потенциально вывести устройство из строя, осуществив атаку типа «отказ в обслуживании» (DoS). Обычно такие готовые инструменты предназначаются для скрипит-кидди, которые хотят кого-то атаковать, но собственных умений им не хватает.


Атака на неудачливого скрипт-кидди начинается с загрузки вредоносной версии SMS Bomber (на китайском языке), которая содержит не только саму программу для SMS-бомбардировки, но и дополнительный код, который осуществляет инжект в процесс notepad.exe.



Китайские хакеры атакуют скрипт-кидди - «Новости»


Отчет Check Point гласит, что загруженный исполняемый файл на самом деле является загрузчиком Nimbda, который предусмотрительно использует значок SMS Bomber и даже сам SMS Bomber в качестве встроенного исполняемого файла.


Загрузчик внедряет шелл-код в процесс notepad.exe, чтобы получить доступ к репозиторию GitHub или Gitee, получить обфусцированный исполняемый файл, декодировать его, а затем запустить с помощью процесса dllhost.exe.





Полезная нагрузка представляет собой новый вариант малвари Yahoyah, который собирает данные о хосте и передает на управляющий сервер. Информация, собираемая Yahoyah, включает:



  • SSID локальной беспроводной сети;

  • имя компьютера;

  • MAC-адрес;

  • версию ОС;

  • данные об установленных антивирусных продуктах;

  • информацию о наличии файлов WeChat и Tencent.


Финальный пейлоад, разворачиваемый Yahoyah, кодируется в изображение JPG с использованием стеганографии. Check Point идентифицирует эту угрозу как TClient, известный бэкдор группировки Tropic Trooper, ранее уже использовавшийся хакерами в других кампаниях.


Группировка Tropic Trooper, также известная под именами Earth Centaur, KeyBoy и Pirate Panda, известна благодаря своим атакам на различные цели на Тайване, в Гонконге и на Филиппинах. Чаще всего жертвами этих злоумышленников, которые специализируются на шпионаже, становятся правительственные организации, здравоохранение, транспортные и высокотехнологичные отрасли.


Исследователи пишут, что использование такого необычного инструмента, как SMS Bomber для этой кампании говорит о ее узкой и весьма необычной направленности. Вероятно, выбор хакеров основан на неких данных, собранных во время предыдущих шпионских кампаний.

CSS
запостил(а)
Lawman
Вернуться назад

Смотрите также

А что там на главной? )))



Комментарии )))



Комментарии для сайта Cackle
Войти через: