Високопоставени правителствени структури в Югоизточна Азия са обект на кампания за кибершпионаж, предприета от китайска групировка, известна като Sharp Panda, от края на миналата година.
Проникванията се характеризират с използването на нова версия на модулната рамка Soul, което бележи отклонение от веригите за атаки на групата, наблюдавани през 2021 г.
Израелската компания за киберсигурност Check Point заяви, че „дългогодишните“ дейности в миналото са били насочени към страни като Виетнам, Тайланд и Индонезия. Sharp Panda е документирана за първи път от фирмата през юни 2021 г., като я описва като „високоорганизирана банда, която полага значителни усилия, за да остане под радара“.
Интересно е, че използването на задната вратичка Soul е описано подробно от Symantec на Broadcom през октомври 2021 г. във връзка с непризната шпионска операция, насочена към секторите на отбраната, здравеопазването и ИКТ в Югоизточна Азия.
Произходът на импланта, според изследване, публикувано от Fortinet FortiGuard Labs през февруари 2022 г., датира още от октомври 2017 г., като зловредният софтуер използва повторно код от Gh0st RAT и други публично достъпни инструменти.
Веригата на атаката, описана подробно от Check Point, започва с копие-фишинг имейл, съдържащ примамлив документ, който използва оръжието Royal Road Rich Text Format (RTF), за да пусне програма за изтегляне чрез използване на една от няколкото уязвимости в редактора на уравнения на Microsoft.
На свой ред даунлоудърът е проектиран да изтегли зареждащо устройство, известно като SoulSearcher, от географски ограничен сървър за управление и контрол (C&C), който отговаря само на заявки, идващи от IP адреси, съответстващи на целевите държави.
След това зареждащият модул отговаря за изтеглянето, декриптирането и изпълнението на задната врата на Soul и другите ѝ компоненти, като по този начин позволява на противника да събира широк спектър от информация.
„Основният модул Soul отговаря за комуникацията със C&C сървъра и основната му цел е да получава и зарежда в паметта допълнителни модули“, казват от Check Point.
„Интересно е, че конфигурацията на задната врата съдържа функция, подобна на „радиомълчание“, при която хакерите могат да определят конкретни часове в седмицата, когато задната врата няма право да комуникира със C&C сървъра.“
Констатациите са още един признак за споделянето на инструменти, което е широко разпространено сред китайските групи за напреднали устойчиви заплахи (APT), за да се улесни събирането на разузнавателна информация.
„Въпреки че рамката Soul се използва поне от 2017 г., хакерите, които стоят зад нея, непрекъснато актуализират и усъвършенстват нейната архитектура и възможности“, заяви компанията.
Тя отбеляза още, че кампанията вероятно е „организирана от APT, подкрепяни от Китай, чиито други инструменти, възможности и позиция в по-широката мрежа от шпионски дейности предстои да бъдат проучени“.
