🔥 Китайские хакеры атакуют Россию. Цель — правительственные и IT-организации

В конце июля 2024 года российские правительственные структуры и IT-компании стали мишенью серии кибератак. За ними, по данным «Лаборатории Касперского», стоят китайские хакеры из группировок APT31 и APT27.

Операция «EastWind»

Эти атаки, получившие кодовое название «EastWind», используют обновленную версию вредоносного ПО под названием CloudSorcerer.

Этот бэкдор уже успел отметиться в аналогичных атаках на российские госструктуры в мае 2024 года.

Вирус распространяется через фишинговые письма, и, как только он попадает на компьютер, хакеры могут управлять системой, выполнять команды, вытаскивать данные и устанавливать другие вредоносные программы.

Новые угрозы и развитие тактики

В рамках этой атаки был задействован троян GrewApacha, который ассоциируют с группировкой APT31.

Новая версия трояна стала еще более сложной: теперь он использует два командных сервера, адреса которых зашифрованы и скрыты в публичных профилях на GitHub. Этот ход усложняет задачу по его обнаружению и блокировке.

Но это еще не всё. CloudSorcerer теперь защищен куда сильнее прежнего — он генерирует уникальные ключи, привязанные к конкретной системе, что делает его бесполезным на других компьютерах.

Кроме того, для получения командных серверов он использует не только GitHub, но и такие платформы, как Quora и LiveJournal.

PlugY: новый инструмент кибершпионажа

Еще один элемент атаки — это новый бэкдор PlugY, который, по сути, может сделать всё: от захвата экрана до записи нажатий клавиш. Код этого вируса уже встречался в атаках APT27, что может говорить о возможном сотрудничестве двух группировок.

Отметим, что эти атаки напоминают, насколько киберугрозы могут быть сложными и многоуровневыми, даже между странами, которые поддерживают дружеские дипломатические отношения.