Согласно отчётуаналитической компании Anheng, группировка Confucius (APT59) атакуя государственные и военные структуры Южной и Восточной Азии. Недавно специалисты обнаружили новую кампанию, в рамках которой Confucius использует LNK-файлы для распространения инфостилера River Stealer.
Атака начинается с ZIP-файла, который маскируется под PDF. Архив содержит LNK-файл, который при запуске выполняет VBS-скрипт на локальной машине. VBS-скрипт затем проверяет, установлен ли на компьютере антивирус Avast, и на основе этой проверки открывает путь для последующего вредоносного ПО. Скрипт создает скрытую задачу планировщика, запускающую файл загрузчика DLL Loader каждые 5 минут. После загрузки DLL Loader доставляет последующие вредоносные файлы, в конечном итоге похищая файлы с целевого компьютера.
Хакеры использовали различные методы для привлечения внимания жертв, включая использование документов на различные темы, связанные с Пакистаном, такие как политика, религия, энергетика и телекоммуникации. Приманки включали в себя файлы, связанные с политикой в Пакистане до 2025 года, обсуждение возобновляемой энергии в Пакистане и уведомление о слушании от надзорного органа, отвечающего за регулирование электроснабжения в Пакистане National Electric Power Regulatory Authority (NEPRA).
Проведенный анализ показывает, что атакующие обладают возможностью выявлять и обходить антивирусную защиту, внедрять вредоносные файлы и скрывать свои следы, применяя многоуровневую атаку для украденных данных. Кампания подчеркивает необходимость повышенного внимания к кибербезопасности со стороны организаций в азиатском регионе.
На заключительном этапе отчета исследователей приводятся рекомендации по улучшению киберзащиты, включая регулярное резервное копирование, избегание открытия неизвестных приложений и вложений электронной почты, посещение только надежных веб-сайтов, использование качественных продуктов по кибербезопасности и частый просмотр системных журналов на предмет подозрительной активности.
Ранее команда Antiy AVL Threat Intelligence Team раскрыла активность APT-группы Confucius (APT59), занимающейся кибератаками с 2013 года. Основные цели группы – государственные учреждения, военные и ядерные объекты в Пакистане и других странах Южной Азии. Confucius использует вредоносные приложения SunBird и Hornbill для кражи данных с устройств на платформе Android.