Kompiuterio virusų ekspertai atskleidė dar vieną atakų grandinę
Su Kinijos valdžia ryšius turintis nuolatinės grėsmės (APT) veikėjas kodiniu pavadinimu „MirrorFace“ priskiriamas prie spear-phishing kibernetinės kampanijos, nukreiptos prieš Japonijos politines institucijas, sako ekspertai[1]. ESET kibernetinio saugumo ekspertų komandos pavadinta operacija „LiberalFace“, buvo nukreipta į neįvardytos šalies politinės partijos narius, siekiant platinti virusą.
Kenkėją pavadintą „LODEINFO“, ir iki šiol nematytą informacijos vagį, pavadintą „MirrorStealer“ atradę ekspertai nurodo, kad atakos susiję su politika. Viruso platinimo kampanija buvo pradėta likus kiek daugiau nei savaitei iki 2022 m. liepos 10 d. vykusių Japonijos tarybos narių rūmų rinkimų.
„LODEINFO“ buvo naudojamas siekiant pristatyti papildomą kenkėjišką programinę įrangą, išvilioti aukos prisijungimus ir pavogti aukos dokumentus bei elektroninius laiškus.
Teigiama, kad „MirrorFaceturi“ turi bendrų sutapimų su kitu grėsmių veikėju, kuris sekamas kaip „APT10“. Tai grupė arba asmuo, kuris anksčiau yra smogęs Japonijoje įsikūrusioms įmonėms ir organizacijoms. Šios paskutinės infekcijų atakos nukreiptos į Japonijos žiniasklaidos, diplomatines, vyriausybines ir viešojo sektoriaus organizacijas bei analitinius centrus. Apie tokias atakas jau pranešė ir kiti ekspertai[2].
Kibernetiniai virusai duomenims vogti platinti el. paštu
ESET teigė neradusi įrodymų, leidžiančių susieti kelias ankstesnes atakas su anksčiau žinoma APT grupe, kuri žinoma kaip „Stone panda“. Ji taip pat apibūdino „LODEINFO“ kaip pirminę backdoor tipo ataką, kuri po to naudoja „MirrorFace“ kenkėją ir kitus įrankius.
2022 m. birželio 29 d. tariamai buvo išsiųsti spear-phishing elektroniniai laiškai iš politinės partijos ryšių su visuomene skyriaus ir ragino gavėjus dalytis pridėtais vaizdo įrašais savo socialinės žiniasklaidos profiliuose, kad užsitikrintų pergalę rinkimuose. Taip žmonės buvo įtraukti į atakos platinimą.
Prisegti vaizdo įrašai buvo savaime išsisaugantys „WinRAR“ tipo archyvai, skirti įdiegti „LODEINFO“ užkrėstame kompiuteryje, leidžiantys daryti ekrano nuotraukas, registruoti klavišų paspaudimus, pradėti ar užbaigti procesus, kopijuoti ir vogti failus ir vykdyti papildomus failus bei komandas.
Taip pat buvo pristatytas kitas virusas, galintis grobti slaptažodžius iš naršyklių ir el. pašto klientų. Ypač paskyrų tinkluose, kurie daugiausiai naudojami Japonijoje.
Japonija yra vienas iš dažniausių Kinijos kenkėjų komandų taikinių.
Svarbūs asmenys ir objektai – taikiniai Kinijos kenkėjų grupėms
Kinijos hakeriai visada buvo žinomi kaip aršiai nusiteikę ir besitaikantys į įvairių šalių vyriausybės šakas ir objektus, kompanijas, ar net asmenis[3] Jie žinomi kaip naudojantys prisijungimus prie įvairių paskyrų, vagiantys virusus ar bankinius trojanus, failus kopijuojančias programas.
Plačiai žinoma hakerių grupė iš Kinijos, žinoma kaip „Mustang Panda“, yra susijusi su daugybe pavojingų spear-phishing[4] atakų, nukreiptų į vyriausybinius, švietimo ir mokslinių tyrimų sektorius visame pasaulyje. Pagrindiniai 2022 m. gegužės-spalio mėn. įsilaužimų taikiniai buvo Azijos ir Ramiojo vandenyno regiono šalys, tokios kaip Mianmaras, Australija, Filipinai, Japonija ir Taivanas.
Ši grupė net žinoma kaip paleidusi tokio pat tipo kampaniją, kai specialiai modifikuojasi kibernetinis virusas, paleistas naudojantis „Google Drive“. Kampanija taikėsi į akademines organizacijas, vyriausybines įstaigas ir tyrimų padalinius.
Kinijos įsilaužėliai, naudodamiesi „Google“ paskyromis, savo taikiniams siuntė elektroninio pašto žinutes su vilionėmis, kuriomis jie buvo įkalbinėjami atsisiųsti pasirinktinę kenkėjišką programinę įrangą naudojantis nuorodomis laiške, bet „Google Drive“ nuorodos platino virusus.
Siekiant apeiti apsaugos mechanizmus, įterptoje nuorodoje nurodoma į „Google Drive„ arba „Dropbox“ platformų aplanką, t. y. teisėtas, gerą reputaciją turinčias platformas, kurios paprastai kelia mažiau įtarimų. Tokie metodai naudojami apgavystėms ir, deja, žmonės papuola į šias hakerių pinkles.
