Обман в глубину: Кампания шпио... Заметка
RSS Блог об облаках

Обман в глубину: Кампания шпионажа PRC-Nexus похищает интернет-трафик для целенаправленной атаки на дипломатов

Группа Google Threat Intelligence выявила сложную кампанию кибершпионажа, проводимую связанным с КНР актором UNC6384, направленную на дипломатов Юго-Восточной Азии. Эта кампания использует захват captive portal для перенаправления пользователей на вредоносный веб-сайт. Затем доставляется подписанный цифровой загрузчик STATICPLUGIN для инициирования атаки. Конечная цель — развертывание в памяти бэкдора SOGU.SEC, также известного как PlugX. В цепочке атаки применяются продвишенные методы социальной инженерии, включая действительные сертификаты подписи кода и техники «злоумышленник посередине». Google активно защищает пользователей, оповещая пострадавших лиц и улучшая меры безопасности. Они также добавили выявленные вредоносные ресурсы в список Google Safe Browsing. Вредоносные полезные нагрузки маскируются под обновления программного обеспечения или плагинов, чтобы обмануть цели. Кампания использует захват captive portal, маскирующийся под обновление плагина Adobe, для доставки первоначального вредоносного ПО. Целевая страница имитирует легитимные сайты обновлений программного обеспечения и использует HTTPS с действительным TLS-сертификатом для повышения доверия. Google рекомендует пользователям включить расширенную функцию Safe Browsing, обновлять устройства и использовать двухэтапную аутентификацию.
CdXz5zHNQW_TP1M7SZQDA.png