Китайские хакеры атакуют скрипт-кидди - «Новости» » Интернет технологии
sitename
Oracle в частном порядке уведомляет клиентов об утечке данных - «Новости»
Oracle в частном порядке уведомляет клиентов об утечке данных - «Новости»
 В Positive Technologies нашли новый вектор эксплуатации уязвимостей в процессорах Intel - «Новости»
В Positive Technologies нашли новый вектор эксплуатации уязвимостей в процессорах Intel - «Новости»
 В Apache Parquet обнаружили критическую RCE-уязвимость - «Новости»
В Apache Parquet обнаружили критическую RCE-уязвимость - «Новости»
 Каскадную атаку на цепочку поставок на GitHub связали с утечкой токена SpotBugs - «Новости»
Каскадную атаку на цепочку поставок на GitHub связали с утечкой токена SpotBugs - «Новости»
 Уязвимость в Google Quick Share позволяла передавать файлы без согласия пользователя - «Новости»
Уязвимость в Google Quick Share позволяла передавать файлы без согласия пользователя - «Новости»
 Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
 Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
 Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
 «Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
«Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
 Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Китайские хакеры атакуют скрипт-кидди - «Новости»

✔Китайские хакеры атакуют скрипт-кидди - «Новости»

24 июня 2022 562 Новости / Изображения / Самоучитель CSS / Вёрстка / Типы носителей 0

Эксперты Check Point обнаружили новую кампанию китайской хак-группы Tropic Trooper, в рамках которой применяются новый загрузчик Nimbda и новый вариант трояна Yahoyah. Малварь скрывается в инструменте с говорящим названием SMS Bomber, рассчитанном на «начинающих» злоумышленников.


SMS Bomber, как можно понять из названия, позволяет ввести номер телефона, который нужно «засыпать» сообщениями и потенциально вывести устройство из строя, осуществив атаку типа «отказ в обслуживании» (DoS). Обычно такие готовые инструменты предназначаются для скрипит-кидди, которые хотят кого-то атаковать, но собственных умений им не хватает.


Атака на неудачливого скрипт-кидди начинается с загрузки вредоносной версии SMS Bomber (на китайском языке), которая содержит не только саму программу для SMS-бомбардировки, но и дополнительный код, который осуществляет инжект в процесс notepad.exe.



Китайские хакеры атакуют скрипт-кидди - «Новости»


Отчет Check Point гласит, что загруженный исполняемый файл на самом деле является загрузчиком Nimbda, который предусмотрительно использует значок SMS Bomber и даже сам SMS Bomber в качестве встроенного исполняемого файла.


Загрузчик внедряет шелл-код в процесс notepad.exe, чтобы получить доступ к репозиторию GitHub или Gitee, получить обфусцированный исполняемый файл, декодировать его, а затем запустить с помощью процесса dllhost.exe.





Полезная нагрузка представляет собой новый вариант малвари Yahoyah, который собирает данные о хосте и передает на управляющий сервер. Информация, собираемая Yahoyah, включает:



  • SSID локальной беспроводной сети;

  • имя компьютера;

  • MAC-адрес;

  • версию ОС;

  • данные об установленных антивирусных продуктах;

  • информацию о наличии файлов WeChat и Tencent.


Финальный пейлоад, разворачиваемый Yahoyah, кодируется в изображение JPG с использованием стеганографии. Check Point идентифицирует эту угрозу как TClient, известный бэкдор группировки Tropic Trooper, ранее уже использовавшийся хакерами в других кампаниях.


Группировка Tropic Trooper, также известная под именами Earth Centaur, KeyBoy и Pirate Panda, известна благодаря своим атакам на различные цели на Тайване, в Гонконге и на Филиппинах. Чаще всего жертвами этих злоумышленников, которые специализируются на шпионаже, становятся правительственные организации, здравоохранение, транспортные и высокотехнологичные отрасли.


Исследователи пишут, что использование такого необычного инструмента, как SMS Bomber для этой кампании говорит о ее узкой и весьма необычной направленности. Вероятно, выбор хакеров основан на неких данных, собранных во время предыдущих шпионских кампаний.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Эксперты Check Point обнаружили новую кампанию китайской хак-группы Tropic Trooper, в рамках которой применяются новый загрузчик Nimbda и новый вариант трояна Yahoyah. Малварь скрывается в инструменте с говорящим названием SMS Bomber, рассчитанном на «начинающих» злоумышленников. SMS Bomber, как можно понять из названия, позволяет ввести номер телефона, который нужно «засыпать» сообщениями и потенциально вывести устройство из строя, осуществив атаку типа «отказ в обслуживании» (DoS). Обычно такие готовые инструменты предназначаются для скрипит-кидди, которые хотят кого-то атаковать, но собственных умений им не хватает. Атака на неудачливого скрипт-кидди начинается с загрузки вредоносной версии SMS Bomber (на китайском языке), которая содержит не только саму программу для SMS-бомбардировки, но и дополнительный код, который осуществляет инжект в процесс notepad.exe. Отчет Check Point гласит, что загруженный исполняемый файл на самом деле является загрузчиком Nimbda, который предусмотрительно использует значок SMS Bomber и даже сам SMS Bomber в качестве встроенного исполняемого файла. Загрузчик внедряет шелл-код в процесс notepad.exe, чтобы получить доступ к репозиторию GitHub или Gitee, получить обфусцированный исполняемый файл, декодировать его, а затем запустить с помощью процесса dllhost.exe. Полезная нагрузка представляет собой новый вариант малвари Yahoyah, который собирает данные о хосте и передает на управляющий сервер. Информация, собираемая Yahoyah, включает: SSID локальной беспроводной сети; имя компьютера; MAC-адрес; версию ОС; данные об установленных антивирусных продуктах; информацию о наличии файлов WeChat и Tencent. Финальный пейлоад, разворачиваемый Yahoyah, кодируется в изображение JPG с использованием стеганографии. Check Point идентифицирует эту угрозу как TClient, известный бэкдор группировки Tropic Trooper, ранее уже использовавшийся хакерами в других кампаниях. Группировка Tropic Trooper, также известная под именами Earth Centaur, KeyBoy и Pirate Panda, известна благодаря своим атакам на различные цели на Тайване, в Гонконге и на Филиппинах. Чаще всего жертвами этих злоумышленников, которые специализируются на шпионаже, становятся правительственные организации, здравоохранение, транспортные и высокотехнологичные отрасли. Исследователи пишут, что использование такого необычного инструмента, как SMS Bomber для этой кампании говорит о ее узкой и весьма необычной направленности. Вероятно, выбор хакеров основан на неких данных, собранных во время предыдущих шпионских кампаний.
CSS
запостил(а)
Lawman
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: