Китайские хакеры атакуют военные ведомства и аэрокосмические организации в СНГ
06.02.2017
Китайская хакерская группировка, специализирующаяся на кибершпионаже, атакует военные и аэрокосмические организации в России и соседних странах. В кампании, зафиксированной экспертами компании Proofpoint в июле 2016 года, злоумышленники использовали вредоносное ПО NetTraveler (также известно как TravNet) и троян удаленного доступа PlugX. Примерно в то же время группировка начала применять новый загрузчик ZeroT и файлы в формате .chm (Compressed HTML Help) для доставки PlugX.
Атакующие рассылают жертвам CHM-файл, содержащий файл HTM и исполняемый файл. После открытия справки на экране отображается русскоязычное уведомление UAC (Контроль учетных записей) о запуске "неизвестной программы". Если пользователь согласится, на компьютер будет загружен ZeroT.
Для распространения загрузчика группировка также использует специально сформированные документы Microsoft Word и самораспаковывающиеся RAR-архивы. Значительная часть этих архивов включала исполняемый файл Go.exe, использующий инструмент Event Viewer ("Просмотр событий") для обхода UAC в Windows.
Оказавшись на системе, ZeroT связывается с управляющим сервером и отправляет информацию о зараженной системе. Далее ZeroT загружает троян PlugX либо в виде незашифрованного PE-файла, либо в виде Bitmap (.bmp) файла, использующего стеганографию для сокрытия вредоносного ПО.
