Китайские хакеры внедрили бэкдор в мессенджер MiMi - «Новости» » Интернет технологии
sitename
Системы хранения данных QNAP
Системы хранения данных QNAP
Зарубежные SIM-карты больше не позволяют обходить блокировки - «Новости»
Зарубежные SIM-карты больше не позволяют обходить блокировки - «Новости»
Один из разработчиков OpenMandriva Linux пытался саботировать проект - «Новости»
Один из разработчиков OpenMandriva Linux пытался саботировать проект - «Новости»
Microsoft исправила уязвимость RoguePlanet. Исследователь утверждает, что патч опасен - «Новости»
Microsoft исправила уязвимость RoguePlanet. Исследователь утверждает, что патч опасен - «Новости»
СМИ: пользователей хостинга могут обязать проходить идентификацию через «Госуслуги» - «Новости»
СМИ: пользователей хостинга могут обязать проходить идентификацию через «Госуслуги» - «Новости»
Администраторам Progress рекомендовали срочно отключить серверы ShareFile - «Новости»
Администраторам Progress рекомендовали срочно отключить серверы ShareFile - «Новости»
Tesla разгромила собственный завод по производству Model S и Model X во Фримонте - «Новости сети»
Tesla разгромила собственный завод по производству Model S и Model X во Фримонте - «Новости сети»
«Уэбб» помог изучить атмосферу планеты, пережившей смерть своей звезды - «Новости сети»
«Уэбб» помог изучить атмосферу планеты, пережившей смерть своей звезды - «Новости сети»
Sony удалось остановить лавину негатива из-за отмены дисков — сработал анонс портов двух старых игр - «Новости сети»
Sony удалось остановить лавину негатива из-за отмены дисков — сработал анонс портов двух старых игр - «Новости сети»
Google представила ИИ-модель для мониторинга здоровья, обученную на триллионе минут данных носимых устройств - «Новости сети»
Google представила ИИ-модель для мониторинга здоровья, обученную на триллионе минут данных носимых устройств - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Китайские хакеры внедрили бэкдор в мессенджер MiMi - «Новости»

Специалисты компаний  SEKOIA и Trend Micro опубликовали отчеты, посвященные активности китайской хак-группы APT27 (она же Emissary Panda, Iron Tiger и LuckyMouse). Оказалось, что злоумышленники создали кроссплатформенную вредоносную версию китайского мессенджера MiMi (秘密, «секрет» на китайском языке), и с его помощью атакуют пользователей Windows, Linux и macOS.


Так, исследователи из SEKOIA пишут, что MiMi для macOS версии 2.3.0 был взломан почти четыре месяца назад, 26 мая 2022 года. Компрометация обнаружилась во время анализа инфраструктуры трояна удаленного доступа HyperBro, связанного с APT27: малварь связывалась с приложением, что показалось экспертам подозрительным.


Аналитики TrendMicro тоже заметили эту кампанию (независимо от своих коллег) и теперь сообщают, что выявили старые троянизированные версии MiMi, нацеленные на Linux (бэкдор rshell) и Windows (RAT HyperBro).


При этом самый старый образец rshell для Linux датирован июнем 2021 года, и о первой жертве этой кампании стало известно еще в середине июля 2021 года. В общей сложности атакам подверглись не менее 13 различных организаций на Тайване и Филиппинах, и 8 из которых пострадали от rshell.


Эксперты рассказывают, что в случае MacOS, вредоносный код jаvascript, внедренный в MiMi, проверяет, работает ли приложение на Mac, а затем загружает и запускает бэкдор rshell. После запуска малварь собирает и отправляет своим операторам системную информацию и ожидает дальнейших команд.


Хакеры могут использовать вредоноса для составления списков файлов и папок, а также для чтения, записи и загрузки файлов в скомпрометированных системах. Кроме того, бэкдор способен воровать данные и отправлять конкретные файлы на свой управляющий сервер.


По словам экспертов, связь этой кампании с APT27 очевидна. Так, инфраструктура злоумышленников использует уже известный ИБ-специалистам диапазон IP-адресов. Кроме того, подобные кампании уже наблюдались ранее, к примеру, бэкдор внедряли в мессенджер Able Desktop (операция StealthyTrident), а упаковка вредоносного кода осуществлялись с помощью уже известного инструмента, связанного с APT27.


Стоит отдельно отметить, что нельзя с уверенностью утверждать, что речь идет именно об атаке на цепочку поставок. Дело в том, что по данным Trend Micro, хакеры явно контролируют серверы, на которых размещены установщики MiMi, и эксперты предполагают, что имеют дело с компрометацией легитимного и не слишком популярного мессенджера, ориентированного на китайскую аудиторию.


В свою очередь аналитики SEKOIA говорят, что MiMi выглядит весьма подозрительно: связанный с мессенджером сайт (www.mmimchat[.]com) не содержит подробного описания приложения, условий использования и ссылок на социальные сети. Проверить легитимность компании-разработчика Xiamen Baiquan Information Technology Co. Ltd. тоже не удалось. В итоге эксперты SEKOIA пишут, что мессенджер вообще могли разработать сами хакеры, и он представляет собой изначально вредоносный инструмент для слежки за конкретными целями.


«На данном этапе SEKOIA не может оценить цели этой кампании. Поскольку использование этого приложения в Китае выглядит минимальным, вполне вероятно, что оно было разработано как инструмент для целевой слежки. Также вероятно, что после этапа социальной инженерии, которую осуществляли операторы [малвари], целевым пользователям предлагали загрузить это приложение, якобы для обхода цензуры китайских властей», — заключают исследователи.


Специалисты компаний SEKOIA и Trend Micro опубликовали отчеты, посвященные активности китайской хак-группы APT27 (она же Emissary Panda, Iron Tiger и LuckyMouse). Оказалось, что злоумышленники создали кроссплатформенную вредоносную версию китайского мессенджера MiMi (秘密, «секрет» на китайском языке), и с его помощью атакуют пользователей Windows, Linux и macOS. Так, исследователи из SEKOIA пишут, что MiMi для macOS версии 2.3.0 был взломан почти четыре месяца назад, 26 мая 2022 года. Компрометация обнаружилась во время анализа инфраструктуры трояна удаленного доступа HyperBro, связанного с APT27: малварь связывалась с приложением, что показалось экспертам подозрительным. Аналитики TrendMicro тоже заметили эту кампанию (независимо от своих коллег) и теперь сообщают, что выявили старые троянизированные версии MiMi, нацеленные на Linux (бэкдор rshell) и Windows (RAT HyperBro). При этом самый старый образец rshell для Linux датирован июнем 2021 года, и о первой жертве этой кампании стало известно еще в середине июля 2021 года. В общей сложности атакам подверглись не менее 13 различных организаций на Тайване и Филиппинах, и 8 из которых пострадали от rshell. Эксперты рассказывают, что в случае MacOS, вредоносный код jаvascript, внедренный в MiMi, проверяет, работает ли приложение на Mac, а затем загружает и запускает бэкдор rshell. После запуска малварь собирает и отправляет своим операторам системную информацию и ожидает дальнейших команд. Хакеры могут использовать вредоноса для составления списков файлов и папок, а также для чтения, записи и загрузки файлов в скомпрометированных системах. Кроме того, бэкдор способен воровать данные и отправлять конкретные файлы на свой управляющий сервер. По словам экспертов, связь этой кампании с APT27 очевидна. Так, инфраструктура злоумышленников использует уже известный ИБ-специалистам диапазон IP-адресов. Кроме того, подобные кампании уже наблюдались ранее, к примеру, бэкдор внедряли в мессенджер Able Desktop (операция StealthyTrident), а упаковка вредоносного кода осуществлялись с помощью уже известного инструмента, связанного с APT27. Стоит отдельно отметить, что нельзя с уверенностью утверждать, что речь идет именно об атаке на цепочку поставок. Дело в том, что по данным Trend Micro, хакеры явно контролируют серверы, на которых размещены установщики MiMi, и эксперты предполагают, что имеют дело с компрометацией легитимного и не слишком популярного мессенджера, ориентированного на китайскую аудиторию. В свою очередь аналитики SEKOIA говорят, что MiMi выглядит весьма подозрительно: связанный с мессенджером сайт (www.mmimchat_
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: