Một nhóm tấn công khác của Trung Quốc được phát hiện nhắm mục tiêu vào Ukraine giữa cuộc xâm lược của Nga

Nhóm Hacking của Trung Quốc

Một kẻ đe dọa nói tiếng Trung Quốc có tên là Scarab đã được liên kết với một cửa sau tùy chỉnh có tên HeaderTip như một phần của chiến dịch nhắm vào Ukraine kể từ khi Nga bắt tay vào cuộc xâm lược vào tháng trước, khiến nhóm này trở thành nhóm hack thứ hai có trụ sở tại Trung Quốc sau Mustang Panda lợi dụng cuộc xung đột. .

Nhà nghiên cứu Tom Hegel của cho biết: “Hoạt động độc hại đại diện cho một trong những ví dụ công khai đầu tiên về mối đe dọa từ Trung Quốc nhắm vào Ukraine kể từ khi cuộc xâm lược bắt đầu”.

Phân tích của SentinelOne theo lời khuyên từ Nhóm Ứng cứu Khẩn cấp Máy tính của Ukraine (CERT-UA) vào đầu tuần này phác thảo một chiến dịch lừa đảo trực tuyến dẫn đến việc phân phối tệp lưu trữ RAR, đi kèm với tệp thực thi được thiết kế để mở tệp giả mạo trong khi lén lút thả một DLL độc hại được gọi là HeaderTip trong nền.

Scarab lần đầu tiên được ghi lại bởi Symantec Threat Hunter Team, một phần của Broadcom Software, vào tháng 1 năm 2015, khi nó trình bày chi tiết các cuộc tấn công có chủ đích nhắm vào các cá nhân nói tiếng Nga kể từ ít nhất là tháng 1 năm 2012 để triển khai một cửa hậu có tên là Scieron.

Các nhà nghiên cứu Symantec cho biết: “Nếu những kẻ tấn công xâm nhập thành công máy tính của nạn nhân, thì chúng sẽ sử dụng một mối đe dọa cơ bản có tên là Trojan.Scieron để thả Trojan.Scieron.B vào máy tính”. “Trojan.Scieron.B có một thành phần giống ẩn một số hoạt động mạng của nó và có chức năng cửa sau nâng cao hơn.”

Xem tiếp:   Tin tặc SolarWinds Nhắm mục tiêu Chính phủ và Các Tổ chức Doanh nghiệp Trên toàn Thế giới

Các kết nối của HeaderTip với Scarab đến từ độc hại và cơ sở hạ tầng trùng lặp với Scieron, với SentinelOne gọi cái sau là tiền thân của backdoor mới được phát hiện. Được thiết kế dưới dạng tệp DLL 32-bit và được viết bằng C ++, HeaderTip có kích thước 9,7 KB và chức năng của nó được giới hạn để hoạt động như một gói giai đoạn đầu để tìm nạp các mô-đun giai đoạn tiếp theo từ một máy chủ từ xa.

“Dựa trên các mục tiêu đã biết từ năm 2020, bao gồm cả các mục tiêu chống lại Ukraine vào tháng 3 năm 2022, ngoài việc sử dụng ngôn ngữ cụ thể, chúng tôi đánh giá với mức độ tin cậy vừa phải rằng Scarab là người nói tiếng Trung Quốc và hoạt động theo mục đích thu thập thông tin tình báo địa chính trị”, Hegel nói.

.

Related Posts

Check Also

Phân tích phần mềm độc hại: Trickbot

Trong thời đại ngày nay, chúng ta không còn xử lý những loại vi rút …