Спонсорований державою китайський загрозливий актор націлений на ЗМІ, дипломатичні, урядові та громадські організації та аналітичні центри в Японії
Стоун Панда, яка є китайською державною організацією загроз, використовувала новий прихований ланцюжок зараження у своїх атаках, спрямованих на японські організації.
Згідно з подвійними звітами, опублікованими Kaspersky, цілі включають ЗМІ, дипломатичні, урядові та громадські організації та аналітичні центри в Японії.
Stone Panda, також звана APT10, Bronze Riverside, Cicada та Potassium, — це група кібершпигунства, відома своїми вторгненнями в організації, визначені як стратегічно важливі для Китаю. Вважається, що зловмисник діяв щонайменше з 2009 року.
Остання серія атак спостерігалася в період з березня по червень 2022 року. Спостережувані атаки передбачають використання фіктивного файлу Microsoft Word і файлу саморозпаковуваного архіву (SFX) у форматі RAR, що поширюється через фішингові електронні листи, що призводить до виконання бекдор під назвою LODEINFO.
У той час як maldoc вимагає від користувачів увімкнути макроси для активації ланцюжка ануляції, виявилося, що кампанія в червні 2022 року відмовилася від цього методу на користь файлу SFX, який під час виконання відображає нешкідливий документ Word, щоб приховати зловмисну діяльність.
Після ввімкнення макросу скидається архів ZIP, що містить два файли, один із яких («NRTOLF.exe») є законним виконуваним файлом із програмного забезпечення K7Security Suite, який згодом використовується для завантаження фальшивої DLL («K7SysMn1.dll») через DLL. бокове завантаження.
Якщо не згадати про зловживання захисним додатком, Kaspersky також повідомив, що в червні 2022 року він також виявив ще один метод початкового зараження, у якому захищений паролем файл Microsoft Word діяв як канал для доставки завантажувача без файлів під назвою DOWNIISSA після активації макросу.
«Вбудований макрос генерує шелл-код DOWNIISSA та впроваджує його в поточний процес (WINWORD.exe)», — повідомила російська компанія з кібербезпеки.
DOWNIISSA налаштована на зв’язок із жорстко закодованим віддаленим сервером, використовуючи його для отримання зашифрованого корисного навантаження BLOB LODEINFO, бекдора, здатного виконувати довільний код оболонки, робити знімки екрана та передавати файли назад на сервер.
Зловмисне програмне забезпечення, яке вперше було помічено в 2019 році, зазнало численних удосконалень, і Kaspersky визначив шість різних версій у березні, квітні, червні та вересні 2022 року.
Зміни включають покращені методи ухилення, щоб не помічати радарів, зупинку виконання на машинах із локалізацією «en_US», перегляд списку підтримуваних команд і розширення підтримки для 64-розрядної архітектури Intel.
«Зловмисне програмне забезпечення LODEINFO дуже часто оновлюється та продовжує активно націлюватися на японські організації», — підсумували дослідники.
«Оновлені TTP та вдосконалення LODEINFO та пов’язаного зловмисного програмного забезпечення вказують на те, що зловмисник особливо зосереджений на виявленні, аналізі
Українська 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
فارسی 
Français du Canada