Китайские хакеры причастны к целевым атакам на различные организации во всем мире
04.07.2016
Исследователи Palo Alto Networks опубликовали отчет по вредоносной деятельности китайских хакерских группировок.
MNKit является одним из немногих генераторов эксплоитов под Microsoft Office, использующимся хакерскими группировками. MNKit используется для генерации документов Office, эксплуатирующих уязвимость CVE-2012-0158.
По данным Palo Alto Networks, некоторые хакерские группировки использовали MNKit для создания инфицированных документов и доставки на зараженные системы вредоносных приложений Lurk0, NetTraveler и Saker. Злоумышленники рассылали документы, содержащие эксплоит, университетам, некоммерческим организациям, политикам и группам, отстаивающим права людей в Южной Африке.
Lurk0 представляет собой RAT-инструмент, наследник Gh0stRAT, используемый уже несколько лет. Еще в 2012 году организация Citizen Lab опубликовала отчет, содержащий описание атак с использованием этого вредоноса против тибетских организаций.
NetTraveler - второй образец вредоносного ПО, распространяемый генерируемыми MNKit документами. Этот бэкдор используется злоумышленниками для хищения данных и установки дополнительного ПО на зараженные системы. NetTraveler использовался хакерскими группировками, связанными с правительством Китая, для хищения конфиденциальных данных в различных странах.
Эксперты Palo Alto Networks также сообщают, что посредством вредоносных документов распространяются такие приложения как Saker, Xbox и Mongall. Согласно данным FireEye, Saker использовался хакерскими группировками Moafee и DragonOK, использующими ранее в своих кампаниях также Gh0stRAT и NetTraveler.
Эксперты приходят к выводам, что обнаруженные атаки тесно связаны с ранее наблюдаемой хакерской активностью по таким признакам, как используемая полезная нагрузка, одинаковые инструменты для создания эксплоитов, email адреса и темы сообщений, названия вложенных файлов, C&C домены и IP адреса.
