Търсене
Close this search box.

Китайските хакери от APT41 атакуват мобилни устройства с WyrmSpy и DragonEgg

Прочутият, свързан с Китай национален извършител, известен като APT41, е свързан с два недокументирани досега щама на шпионски софтуер за Android, наречени WyrmSpy и DragonEgg.

„Известен с експлоатирането на уеб приложения и проникването в традиционни крайни устройства, утвърдена заплаха като APT41, който включва мобилни устройства в арсенала си от зловреден софтуер, показва как мобилните крайни точки са високостойностни цели с желани корпоративни и лични данни“, се казва в доклад на Lookout, споделен с The Hacker News.

Известно е, че APT41, проследявана и под имената Axiom, Blackfly, Brass Typhoon (преди Barium), Bronze Atlas, HOODOO, Wicked Panda и Winnti, действа поне от 2007 г. и се насочва към широк кръг индустрии, за да извършва кражби на интелектуална собственост.

Неотдавнашните атаки, организирани от противниковия колектив, използваха инструмент с отворен код за червен екип, известен като Google Command and Control (GC2), като част от атаки, насочени към медии и платформи за работа в Тайван и Италия.

Не е известен първоначалният вектор на проникване за кампанията за мобилен surveillanceware, въпреки че се предполага, че е включвал използването на социално инженерство. Lookout заяви, че за първи път е открил WyrmSpy още през 2017 г., а DragonEgg – в началото на 2021 г., като нови проби на последния са забелязани едва през април 2023 г.

WyrmSpy се маскира предимно като системно приложение по подразбиране, използвано за показване на известия на потребителя. По-късни варианти обаче са опаковали зловредния софтуер в приложения, представящи се за видеосъдържание за възрастни, Baidu Waimai и Adobe Flash. От друга страна, DragonEgg е бил разпространяван под формата на клавиатури на трети страни за Android и приложения за съобщения като Telegram.

Няма доказателства, че тези измамни приложения са били разпространявани чрез Google Play Store. Не е установено точно към кого или колко жертви може да са били насочени WyrmSpy и DragonEgg.

Връзките на WyrmSpy и DragonEgg с APT41 се дължат на използването на команден сървър (C2) с IP адрес 121.42.149[.]52, който се пренасочва към домейн („vpn2.umisen[.]com“), за който по-рано е установено, че е свързан с инфраструктурата на групата.

След като бъдат инсталирани, и двата щама на зловредния софтуер изискват натрапчиви разрешения и са снабдени със сложни възможности за събиране и ексфилтриране на данни, като събират снимки, местоположение, SMS съобщения и аудиозаписи на потребителите.

Наблюдавано е също така, че зловредният софтуер разчита на модули, които се изтеглят от вече неработещ C2 сървър след инсталирането на приложението, за да се улесни събирането на данни, като същевременно се избягва откриването им.

WyrmSpy, от своя страна, е способен да деактивира Security-Enhanced Linux (SELinux), функция за сигурност в Android, и да използва инструменти за рутиране като KingRoot11, за да получи повишени привилегии на компрометираните телефони. Забележителна особеност на DragonEgg е, че той установява контакт със сървъра C2, за да изтегли неизвестен третичен модул, който се представя за програма за криминалистика.

„Откриването на WyrmSpy и DragonEgg е напомняне за нарастващата заплаха, която представлява усъвършенстваният зловреден софтуер за Android“, казва Кристина Балаам, старши изследовател на заплахи в Lookout. „Тези шпионски пакети са изключително усъвършенствани и могат да се използват за събиране на широк спектър от данни от заразените устройства.“

Констатациите идват в момент, когато Mandiant разкрива развиващите се тактики, възприети от китайските шпионски екипи, за да се укрият под радара, включително въоръжаване на мрежови устройства и софтуер за виртуализация, използване на ботнети за замаскиране на трафика между инфраструктурата C2 и средите на жертвите и тунелиране на злонамерен трафик в мрежите на жертвите чрез компрометирани системи.

„Използването на ботнети, проксирането на трафика в компрометирана мрежа и насочването към крайни устройства не са нови тактики, нито пък са уникални за китайските участници в кибершпионажа“, заяви фирмата за разузнаване на заплахи, собственост на Google. „През последното десетилетие обаче проследихме използването на тези и други тактики от китайските участници в кибершпионажа като част от по-широка еволюция към по-целенасочени, скрити и ефективни операции.“

Източник: The Hacker News

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
26 февруари 2024

Организациите са изправени пред големи санкции ...

Това може да се превърне в кошмар за правоприлагащите органи –...
Бъдете социални
Още по темата
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
27/02/2024

САЩ и НАТО: Руските хакери ...

Членовете на разузнавателния алианс „Пет очи“...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!