Čínští hackeři distribuují trojské koně na evropských ambasádách

Výzkumný tým kybernetické bezpečnosti společnosti Proofpoint zveřejnil novou zprávu o hrozbách, která identifikuje skupina čínských hackerů co mělo zintenzivnila svou aktivitu proti subjektům v Evropě během eskalace války na Ukrajiněspouštění škodlivých e-mailových kampaní za účelem distribuce malwaru.

• skupina hackerů, TA416 (také nazývaný RedDelta), je známo, že je v souladu s čínským státem a už léta míří na Evropu. Proofpoint sleduje tuto skupinu od roku 2020 a bylo tomu tak pozoruhodný nárůst počtu útoků od doby, kdy se ruské jednotky začaly shromažďovat na ukrajinské hranici.

• Nedávno začala TA416 použít kompromitovanou e-mailovou adresu diplomata z evropské země NATO zasílat zprávy diplomatickým úřadům různých zemí. Osoby, které oslovoval, pracovali služby pro uprchlíky a migranty.
• Kampaně TA416 využily chyby na webu profilovat své oběti před odesláním malwaru. To útočníkovi naznačuje, že cílový účet je platný a že oběť pravděpodobně otevře e-maily, které obsahují sociálně inženýrský obsah. To naznačuje TA416 je náročnější na své cíle a mohl by být pokusem zabránit odhalení a zveřejnění jejich škodlivých nástrojů.
• Kampaně obsahují škodlivé odkazy a dokumenty související s hraničním pohybem ukrajinských uprchlíkůs cílem doručit obětem malware zvaný PlugX. PlugX je RAT (Remote Access Trojan), který po instalaci lze použít k plné kontrole vybavení oběti.

Skupina čínských hackerů, která zesílila svou aktivitu proti subjektům v Evropě během eskalace války na Ukrajině

„Použití techniky průzkumu webových chyb naznačuje, že TA416 je vybíravější, pokud jde o cíle, na které se rozhodne doručovat malware.“, říkají výzkumníci Proofpoint. „Historicky skupina posílala adresy URL webových chyb spolu s adresami URL malwaru, aby potvrdila přijetí. V roce 2022 začala skupina nejprve profilovat uživatele a poté odesílat adresy URL malwaru. Může se jednat o pokus TA416 zabránit odhalení a odhalení jeho škodlivých nástrojů. Zúžením cíle širokých phishingových kampaní tak, aby se zaměřovaly na cíle, které se ukázaly jako aktivní a ochotné e-maily otevřít, zvyšuje TA416 své šance na úspěch při sledování obsahu malwaru.“.