Một kẻ đe dọa nói tiếng Trung Quốc có tên là Scarab đã được liên kết với một cửa sau tùy chỉnh có tên HeaderTip như một phần của chiến dịch nhắm vào Ukraine kể từ khi nga bắt tay vào cuộc xâm lược vào tháng trước, khiến nhóm này trở thành nhóm hack thứ hai có trụ sở tại Trung Quốc sau Mustang Panda lợi dụng cuộc xung đột. .
Nhà nghiên cứu Tom Hegel của SentinelOne cho biết: “Hoạt động độc hại đại diện cho một trong những ví dụ công khai đầu tiên về mối đe dọa từ Trung Quốc nhắm vào Ukraine kể từ khi cuộc xâm lược bắt đầu”.
Phân tích của SentinelOne theo lời khuyên từ Nhóm Ứng cứu Khẩn cấp Máy tính của Ukraine (CERT-UA) vào đầu tuần này phác thảo một chiến dịch lừa đảo trực tuyến dẫn đến việc phân phối tệp lưu trữ RAR, đi kèm với tệp thực thi được thiết kế để mở tệp giả mạo trong khi lén lút thả một DLL độc hại được gọi là HeaderTip trong nền.
Scarab lần đầu tiên được ghi lại bởi Symantec Threat Hunter Team, một phần của Broadcom Software, vào tháng 1 năm 2015, khi nó trình bày chi tiết các cuộc tấn công có chủ đích nhắm vào các cá nhân nói tiếng Nga kể từ ít nhất là tháng 1 năm 2012 để triển khai một cửa hậu có tên là Scieron.
Các nhà nghiên cứu Symantec cho biết: “Nếu những kẻ tấn công xâm nhập thành công máy tính của nạn nhân, thì chúng sẽ sử dụng một mối đe dọa cơ bản có tên là Trojan.Scieron để thả Trojan.Scieron.B vào máy tính”. “Trojan.Scieron.B có một thành phần giống rootkit ẩn một số hoạt động mạng của nó và có chức năng cửa sau nâng cao hơn.”
Các kết nối của HeaderTip với Scarab đến từ phần mềm độc hại và cơ sở hạ tầng trùng lặp với Scieron, với SentinelOne gọi cái sau là tiền thân của backdoor mới được phát hiện. Được thiết kế dưới dạng tệp DLL 32-bit và được viết bằng C ++, HeaderTip có kích thước 9,7 KB và chức năng của nó được giới hạn để hoạt động như một gói giai đoạn đầu để tìm nạp các mô-đun giai đoạn tiếp theo từ một máy chủ từ xa.
“Dựa trên các mục tiêu đã biết từ năm 2020, bao gồm cả các mục tiêu chống lại Ukraine vào tháng 3 năm 2022, ngoài việc sử dụng ngôn ngữ cụ thể, chúng tôi đánh giá với mức độ tin cậy vừa phải rằng Scarab là người nói tiếng Trung Quốc và hoạt động theo mục đích thu thập thông tin tình báo địa chính trị”, Hegel nói.
.
