Kaspersky Lab descoperă o campanie APT de limbă chineză, care vizează un centru național de date din Asia Centrală

Curierul Naţional



 

În martie 2018, produsele Kaspersky Lab au detectat Campania APT LuckyMouse, ce viza un centru național de date din Asia Centrală și compromiterea unor resurse guvernamentale. Prin intermediul centrului de date, atacatorii au obținut acces la diferite site-uri oficiale, în care au injectat cod infectat JavaScript pentru a realiza atacuri de tip “watering hole”. Prin urmare, utilizatorii au fost redirecționați către domenii infectate.

 LuckyMouse este un atacator de limbă chineză cunoscut și ca EmissaryPanda și APT27. Potrivit cercetătorilor, a fost foarte activ în ultimul timp cu atacuri de tip „watering hole” asupra site-urilor, anumite organizații guvernamentale aflându-se printre țintele sale. Din decembrie 2017, LuckyMouse a folosit vulnerabilitatea Microsoft Office Equation Editor (CVE-2017-11882), chiar dacă acest exploit nu a fost observat în ultimul atac. În schimb, cercetătorii cred că acest autor a folosit probabil o breșă făcută anterior pentru a infecta angajații centrului de date.

 Cercetătorii Kaspersky Lab au descoperit că, special pentru această campanie, LuckyMouse a atacat router-ul Mikrotik cu firmware vechi pentru procesarea cererilor HTTP ale malware-ului. În plus, au aflat că troianul HyperBro – detectat anterior în alte atacuri realizate de autori de limbă chineză - a fost folosit pentru a obține control de la distanță asupra serverelor. Versiunile troianului detectate în această campanie au fost realizate în decembrie 2017 și ianuarie 2018.

 „Este foarte interesant că atacatorii au ales o astfel de țintă”, spune Denis Legezo, Senior Security Researcher în echipa globală de cercetare și analiză a Kaspersky Lab (GReAT). „În primul rând, centrul de date în sine este o resursă de informații valoroase. În al doilea rând, în acest caz, el are și rol de host pentru site-uri guvernamentale, pe care atacatorii le-ar putea compromite pentru alte atacuri de tip watering hole asupra țintelor lor.”

 Produsele Kaspersky Lab detectează diferitele artefacte folosite în campania aceasta cu următoarele verdicte: Trojan.Win32.Generic, Trojan-Downloader.Win32.Upatre și Backdoor.Win32.HyperBro."

Articol salvat de pe www.curierulnational.ro, ediţia din 14 Iunie 2018. Acest articol este proprietatea Curierul National si nu poate fi reprodus fără acordul scris al acestora.