Недавние исследования, проведенные
Check Point Research, раскрыли детали продолжающейся кампании «Stayin’ Alive», активной по меньшей мере с 2021 года и нацеленной в основном на телекоммуникационную отрасль и государственные структуры в Азии. Первоначальные векторы заражения направлены на высокопрофильные организации в регионе, включая Казахстан, Узбекистан, Пакистан и Вьетнам. Недавний анализ показал, что данная кампания является частью более широкой угрозы для этого региона.
Основные инструменты кампании — это загрузчики и установщики вредоносного ПО, предназначенные для компрометации систем организаций и эксфильтрации данных. Исследование выявило, что инструментарий кампании характеризуется простотой использования и широким диапазоном вариантов, что свидетельствует о его одноразовом характере для загрузки и запуска дополнительных полезных нагрузок и, вероятно, в основном используются для получения первоначального доступа к системам.
Инструменты не имеют явных связей с разработками известных хакерских группировок, но все они связаны с одной и той же инфраструктурой, которая, в свою очередь, ассоциирована с ToddyCat — угрозой, имеющей связь с Китаем и функционирующей в азиатском регионе.
Важно отметить, что цепочка заражения начинается с фишингового электронного письма, отправленного в сентябре 2022 года вьетнамской телекоммуникационной компании, с ZIP-архивом во вложении. Тема письма переводится как «ИНСТРУКЦИИ ПО УПРАВЛЕНИЮ И ИСПОЛЬЗОВАНИЮ: ПРАВИЛА ПОЛЬЗОВАТЕЛЯ, что может указывать на целенаправленный характер кампании.
Архив содержит два файла – исполняемый файл «mDNSResponder.exe», переименованным под тему электронного письма, и загруженная методом
Источник: SecurityLab