На протяжении последних лет группа APT под названием Confucius активно проводит атаки, нацеленные на правительства и военные организации в Южной и Восточной Азии. Недавно о новой кампании этой группы, которая была выявлена в ходе регулярных операций по мониторингу киберугроз.
Группа Confucius начала свои действия еще в 2013 году, и их атаки включают использование различных вредоносных инструментов, таких как коммерческие трояны и программы с открытым исходным кодом для удаленного контроля. В одном из последних случаев было обнаружено, что злоумышленники распространяют вредоносное ПО с помощью LNK-файлов, представляющихся в виде документов, таких как “Руководство по безопасному интернету”, выпущенное Пакистанским управлением телекоммуникаций.
Атака начинается с ZIP-архива, содержащего LNK-файл, который после открытия запускает VBS-скрипт. Этот скрипт проверяет наличие антивирусного ПО и устанавливает скрытую задачу для запуска вредоносного программного обеспечения каждые пять минут. В результате на устройстве жертвы крадутся и передаются на сервер конфиденциальные данные, включая файлы различных форматов, таких как текстовые документы, изображения и презентации.
Эта атака характеризуется многоступенчатой загрузкой и выполнением вредоносного ПО. В качестве загрузочного механизма использовался River Stealer – программа для кражи данных, которая была обнаружена в рамках этой кампании. Вредоносное ПО не только собирает файлы с определенными расширениями, но и передает данные о хосте, такие как имя компьютера и имя пользователя, на удаленные серверы.
Кроме использования описанного вредоносного ПО, группа Confucius также применила ряд других методов социальной инженерии. Злоумышленники используют заманчивые файлы, связанные с различными темами, такими как религия, политика, энергетика и телекоммуникации. Это могут быть, например, фальшивые документы, связанные с правительственными отчетами или религиозными исследованиями.
Несмотря на то, что данная кампания нацелена преимущественно на иностранные организации, пользователям рекомендуется соблюдать осторожность при работе с файлами из неизвестных источников и применять защитные меры, такие как регулярное обновление антивирусного ПО и резервное копирование данных.