Последние полтора года хакеры КНР пытаются выкрасть данные ВМС США

Последние полтора года хакеры КНР пытаются выкрасть данные ВМС США

Последние полтора года хакеры КНР пытаются выкрасть данные ВМС США

Зарубежные СМИ рассказали о деятельности китайских правительственных киберпреступников, которые, согласно их данным, в последнее время поставили себе цель заполучить секретные данные, принадлежащие ВМС США.

Для этого на протяжении последних 18 месяцев поддерживаемые правительством Китая кибергруппы атаковали компании, занимающиеся поставкой оборудования для военно-морских сил.

Например, американская газета The Wall Street Journal утверждает, что китайские киберпреступники организовывали таргетированные атаки с целью выведать информацию, касающуюся расположения кораблей, а также установленных на них ракетах.

Американское издание также подчеркивает, что «хакеров» не интересуют масштабы атакуемых компаний: кибернападения совершаются как на мелкие, так и на крупные организации, связанные с флотом.

Помимо этого, спонсируемые государством киберпреступники атаковали и университеты, часть исследований в которых выполняется в интересах Пентагона.

На прошлой неделе мы сообщали, что США планируют ввести некие ограничительные меры против Китая. Администрация Дональда Трампа видит необходимость в сдерживании КНР из-за недавних кибератак и кражи интеллектуальной собственности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

NonEuclid RAT: троян удаленного доступа и шифровальщик в одном флаконе

В Cyfirma проанализировали образец NonEuclid, рекламируемого в даркнете как RAT, и выяснили, что Windows-троян не только открывает удаленный доступ к зараженным устройствам, но также умеет шифровать файлы.

Рекламу NonEuclid эксперты обнаружили на подпольном форуме в конце ноября. Поиск схожих объявлений показал, что данного зловреда продвигают в таких сообществах, в том числе русскоязычных, как минимум с октября 2021 года, а также активно обсуждают в Discord и на YouTube.

Написанный на C# вредонос вооружен рядом средств защиты от анализа и обнаружения. При запуске он проводит проверки на наличие враждебной среды (ВМ, песочницы) и при наличии таковой немедленно прекращает свое исполнение.

С той же целью троян добавляет свои файлы в исключения Microsoft Defender, а также мониторит запуск процессов (через вызовы Windows API) и прибивает те, которые могут ему помешать — taskmgr.exe, processhacker.exe, procexp.exe и т. п.

Кроме того, NonEuclid умеет обходить Windows-защиту AMSI: отслеживает загрузку модуля amsi.dll и при обнаружении патчит области памяти, связанные с AmsiScanBuffer.

Чтобы обеспечить себе постоянное присутствие, зловред создает запланированные задания и вносит изменения в системный реестр. Он также пытается повысить привилегии посредством выполнения команд и обхода UAC-защиты.

Подключение к C2-серверу осуществляется через TCP-сокет с использованием заданных IP-адреса и порта.

Возможности NonEuclid как шифровальщика ограничены списком расширений, который невелик и включает, в частности, .csv, .txt и .php. Данные шифруются по AES, к именам обработанных файлов добавляется расширение .NonEuclid.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru