Специалисты провели анализ вредоносного ПО Mail-O и выявили связь с китайской группировкой TA428.
ИБ-специалисты из американской компании Sentinel Labs провели анализ ряда кибератак на органы государственной власти РФ и сообщили , что за взломом предположительно стоят китайские хакеры. Ранее эксперты из «Ростелеком-Солар» и Национального координационного центра по компьютерным инцидентам ФСБ отметили, что атаку организовали «кибернаемники, преследующие интересы иностранного государства».
Изначально многие исследователи предполагали, что за атаками стояли западные спецслужбы, однако эксперты Sentinel Labs указали в отчете на китайскую группировку ThunderCats, связанную с более крупной группой TA428. TA428 занимается преимущественно взломом российских и восточноазиатских ресурсов.
Специалисты провели анализ вредоносного ПО Mail-O, использованного хакерами в ходе атак. По мнению экспертов, Mail-O представляет собой вариант вредоноса под названием PhantomNet (также известное как SManager), используемой TA428. Mail-O выполняет роль загрузчика и замаскирована под легитимную утилиту компании Mail.ru Group Disk-O. Злоумышленники также использовали вредоносную программу Webdav-O, маскирующуюся под утилиту Yandex Disk.
Mail-O экспортирует функцию под названием Entery (предположительно написанное с ошибкой слово «Entry»). Как оказалось, это был не первый случай, когда орфографические ошибки обнаруживались в новом вредоносном ПО. В декабре 2020 года эксперты опубликовали отчет об атаке на систему поставок во Вьетнаме, в которой использовалось вредоносное ПО PhantomNet. Исследователи отметили, что персистентность вредоносного ПО была установлена с помощью запланированной задачи, которая вызывала экспорт вредоносной DLL-библиотеки Entery. Исследователи отмечают, что на этот же экспорт указала NTT Security в своем анализе вредоносного ПО TManger, которое они, в свою очередь, связывают с китайской группировкой TA428.
Для проникновения в компьютерные сети органов власти злоумышленники использовали три фишинг, эксплуатировали уязвимости в web-приложениях и взламывали инфраструктуры подрядчиков. Затем хакеры похищали конфиденциальную информацию с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.
Источник: securitylab
