Китайские кибершпионы год скрывались во взломанных сетях правительственных учреждений Гонконга

Исследователи из Symantec сообщили о серии атак, приписываемых группировке APT41 (также известной как Winnti), которая взломала правительственные учреждения Гонконга и в некоторых случаях оставались незамеченными в течение года. В ходе атак хакеры использовали вредоноса Spyder Loader – это их “визитная карточка”, которой они ранее пользовались и в других атаках.

Атаки APT41 связывают с хакерской операцией под названием “Operation CuckooBees”, которая проводилась с 2019 года и была направлена на технологические и производственные компании в Северной Америке, Восточной Азии и Западной Европе.

В ходе операции CuckooBees группировка использовала новую версию бэкдора Spyder Loader, которая сохранила старые особенности вредоноса:

• Использование библиотеки CryptoPP C++;

• Использование rundll32.exe для развертывания загрузчика вредоносного ПО;

• Модифицированную копия DLL SQLite3 для управления базами данных SQLite, sqlite3.dll;

Начальный этап заражения тоже не изменился. Spyder Loader загружает на устройство жертвы BLOB-объекты, зашифрованные с помощью AES. Затем эти объекты создают полезную нагрузку под названием "wlbsctrl.dll".

Кроме Spyder Loader APT41 начала использовать:

• Инфостилер Mimikatz, который позволяет хакерам проникать еще глубже в сеть жертвы;

• Троянизированную библиотеку ZLib DLL, которая содержит несколько файлов, один из которых ожидал соединения с C&C-сервером, в то время как другой загружал полезную нагрузку на устройство жертвы.

И хотя Symantec не удалось получить конечную полезную нагрузку, специалисты поняли мотив хакеров – сбор ценной информации о правительственных организациях в Гонконге.