Китайская угроза, известная под псевдонимом Budworm, недавно начала новую серию кибератак на правительственные и телекоммуникационные органы, используя обновлённый набор инструментов вредоносного ПО.
По данным исследователей Symantec, инциденты, нацеленные на неназванную телекоммуникационную организацию на Ближнем Востоке, а также азиатское правительство, произошли в августе этого года. В ходе атак была использована усовершенствованная версия инструментария SysUpdate.
Группировка Budworm активна по меньшей мере с 2013 года и известна под различными именами, такими как APT27, Bronze Union, Emissary Panda, Iron Tiger, Lucky Mouse и Red Phoenix. Группа нацелена на широкий спектр отраслевых вертикалей для достижения своих целей по сбору разведданных.
Для эксфильтрации ценной информации и поддержания длительного доступа к чувствительным системам группа использует уязвимые веб-сервисы, а также различные хакерские инструменты, включая China Chopper, Gh0st RAT, HyperBro, PlugX, SysUpdate и ZXShell.
“SysUpdate используется Budworm по меньшей мере с 2020 года, и злоумышленники постоянно совершенствуют инструмент для улучшения его возможностей и избегания обнаружения,” – говорится в отчёте Symantec.
Отчёт компании SecureWorks за 2017 год выявил склонность злоумышленников к сбору разведданных по вопросам обороны, безопасности и политики организаций по всему миру. Тогда специалисты охарактеризовали группировку как серьёзную угрозу.
С учётом последней атаки, рассмотренной в Symantec, хакеры Budworm также теперь входят в число активных угроз, ориентированных на телекоммуникационный сектор Ближнего Востока.
Кибератаки группировки Budworm против правительственных и телекоммуникационных организаций демонстрируют необходимость постоянного усовершенствования мер кибербезопасности.
Частные и правительственные компании должны регулярно обновлять свои системы защиты, чтобы противостоять изощрённым хакерам, использующим передовые инструменты и методы атак.