Исследователи из Symantec сообщили о серии атак, приписываемых группировке APT41 (также известной как Winnti), которая взломала правительственные учреждения Гонконга и в некоторых случаях оставались незамеченными в течение года. В ходе атак хакеры использовали вредоноса Spyder Loader – это их “визитная карточка”, которой они ранее пользовались и в других атаках.
Атаки APT41 связывают с хакерской операцией под названием “Operation CuckooBees”, которая проводилась с 2019 года и была направлена на технологические и производственные компании в Северной Америке, Восточной Азии и Западной Европе.
В ходе операции CuckooBees группировка использовала новую версию бэкдора Spyder Loader, которая сохранила старые особенности вредоноса:
Использование библиотеки CryptoPP C++;
Использование rundll32.exe для развертывания загрузчика вредоносного ПО;
Модифицированную копия DLL SQLite3 для управления базами данных SQLite, sqlite3.dll;
Начальный этап заражения тоже не изменился. Spyder Loader загружает на устройство жертвы BLOB-объекты, зашифрованные с помощью AES. Затем эти объекты создают полезную нагрузку под названием «wlbsctrl.dll».
Кроме Spyder Loader APT41 начала использовать:
Инфостилер Mimikatz, который позволяет хакерам проникать еще глубже в сеть жертвы;
Троянизированную библиотеку ZLib DLL, которая содержит несколько файлов, один из которых ожидал соединения с C&C-сервером, в то время как другой загружал полезную нагрузку на устройство жертвы.
И хотя Symantec не удалось получить конечную полезную нагрузку, специалисты поняли мотив хакеров – сбор ценной информации о правительственных организациях в Гонконге.
Источник: SecurityLab