Бесплатно Экспресс-аудит сайта:

05.06.2020

Cycldek APT разработала вредонос для атак на физически изолированные системы

Китайскоязычная киберпреступная группировка Cycldek (также известная как Goblin Panda или Conimes) разработала вредоносный инструмент USBCulprit для осуществления атак на физически изолированные системы и хищения конфиденциальных данных.

«Один из недавно обнаруженных инструментов называется USBCulprit. Он полагается на USB-носители для хищения данных жертвы. Это может указывать на то, что Cycldek пыталась получить доступ к физически изолированным сетям в среде жертвы», — сообщили эксперты из «Лаборатории Касперского».

В ходе анализа вредоносного ПО NewCore RAT, которое злоумышленники использовали в кибератаках, специалисты выявили два разных варианта (BlueCore и RedCore) с некоторыми сходствами как в коде, так и в инфраструктуре. RedCore также содержит кейлоггер и RDP-логгер, которые собирают информацию о пользователях, подключенных к системе через RDP.

BlueCore и RedCore загружали множество дополнительных инструментов для облегчения перемещения по сети (HDoor) и извлечения информации (JsonCookies и ChromePass) из скомпрометированных систем. Главным среди них являлось вредоносное ПО USBCulprit, которое способно сканировать несколько путей, собирая документы с определенными расширениями (.pdf, .Doc, .Wps, .docx, .ppt, .Xls, .Xlsx, .pptx, .rtf) и экспортировать их на подключенный USB-накопитель.

Вредоносная программа может создавать свои копии на определенных съемных носителях для продвижения по физически изолированным системам при подключении зараженного USB-накопителя к другому устройству.

Механизм заражения основан на использовании вредоносных двоичных файлов, замаскированных под легитимные антивирусные компоненты, для загрузки USBCulprit с помощью техники перехвата поиска DLL (DLL Search Order Hijacking).

Cycldek, впервые обнаруженная в 2013 году, атакует в основном оборонные, энергетические и государственные предприятия в Юго-Восточной Азии, в частности во Вьетнаме. Преступники используют вредоносные документы для эксплуатации уязвимостей (CVE-2012-0158, CVE-2017-11882, CVE-2018-0802 и пр.) в Microsoft Office и установки вредоноса NewCore.