• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Хакеры Sharp Panda используют вредоносное ПО с режимом «радиомолчания»

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Хакерская группа Sharp Panda, занимающаяся кибершпионажем, нацелена на высокопоставленные правительственные учреждения во Вьетнаме, Таиланде и Индонезии с помощью новой версии вредоносного ПО под названием Soul.

Специалисты CheckPoint выявили новую кампанию с использованием этого ПО. Она началась в конце 2022 года и продолжается до сих пор. Для первоначальной компрометации злоумышленники применяют целевые фишинговые атаки.

По целому ряду признаков CheckPoint смогла приписать последнюю шпионскую операцию китайским хакерам, поддерживаемым государством. Тактики, методы и используемые инструменты соответствуют ранее замеченным действиям группировки Sharp Panda.

В своей новой вредоносной кампании Sharp Panda использует фишинговые электронные письма с вредоносными вложениями в виде файлов формата «.docx». Они нужны для развёртывания набора RoyalRoad и компрометации системы путём известных уязвимостей. Эксплойт создаёт запланированную задачу, а затем скачивает и запускает загрузчик вредоносных DLL, который, в свою очередь, загружает сам загрузчик SoulSearcher.

При запуске основной модуль вредоносной программы Soul устанавливает соединение с C2-сервером и ждёт загрузки дополнительных модулей, расширяющих его функциональность.

Новая версия Soul, проанализированная специалистами CheckPoint, имеет интересный режим «радиомолчания», который позволяет злоумышленникам указывать определенные дни недели и время суток, когда бэкдор не должен связываться с C2-сервером, чтобы избежать обнаружения.

Кроме того, в новой версии реализован собственный протокол связи с C2-сервером, который использует различные методы HTTP-запросов, включая GET, POST и DELETE. Эта особенность придаёт бэкдору значительную гибкость в применении.

Связь Soul с C2-сервером начинается с регистрации в сети и отправки данных жертвы (сведения об оборудовании, тип ОС, часовой пояс, IP-адрес и т.д.), после чего вредонос входит в бесконечный цикл связи с сервером. Команды, которые он может получить во время этой связи, включают загрузку дополнительных модулей, сбора и повторной отправки данных, перезапуска соединения или полного обрыва связи.

Фреймворк Soul был впервые замечен в 2017 году и впоследствии отслеживался в течение 2019 года в китайских шпионских кампаниях, проводимых злоумышленниками, не имеющими явных связей с Sharp Panda. Несмотря на солидный возраст Soul, эксперты CheckPoint пришли к выводу, что вредонос всё ещё находится на стадии разработки, его функционал и пути уклонения от обнаружения будут только дополняться в будущем.
 
Сверху