Эксперты Kaspersky GReAT обнаружили кампанию кибершпионажа за госорганизацией на Ближнем Востоке

Эксперты Kaspersky GReAT обнаружили кампанию кибершпионажа за правительственной организацией на Ближнем Востоке, которую китайскоговорящая кибергруппа Tropic Trooper вела как минимум с июня 2023 года. Ещё одна цель злоумышленников находилась в Малайзии. Для получения несанкционированного доступа и закрепления в корпоративной сети атакующие использовали веб-оболочку China Chopper. Это одна из наиболее известных программ для удалённого управления веб-сервером.

Как обнаружили кампанию

В июне 2024 года телеметрические системы «Лаборатории Касперского» зафиксировали ранее неизвестный вариант веб-оболочки Chopper. Эксперты Kaspersky GReAT выяснили, что она была встроена в качестве модуля в Umbraco CMS — популярную систему управления контентом. Злоумышленники использовали её для реализации широкого спектра вредоносных возможностей, включая кражу данных, полный удалённый контроль, развёртывание вредоносного ПО и обход обнаружения.

Как протекала атака

Специалисты обнаружили несколько утилит постэксплуатации и импланты, которые загружались с помощью метода dll sideloading. С их помощью злоумышленники пытались развернуть загрузчик Crowdoor. Атакующие использовали несколько версий загрузчика для обхода детектирования, однако все модули были обнаружены и задетектированы.

Другие мишени

В числе целей кибергруппы Tropic Trooper, известной с 2011 года в том числе под названиями KeyBoy и Pirate Panda, — госучреждения, организации здравоохранения, транспортные предприятия и высокотехнологичные компании в таких регионах, как Тайвань, Филиппины и Гонконг.

Чтобы защититься от подобных атак, эксперты «Лаборатории Касперского» рекомендуют организациям:

• использовать защитные технологии, которые регулярно получают награды от независимых тестовых лабораторий;
• использовать комплексные защитные решения, такие как Kaspersky Symphony, которые позволят выстроить гибкую и эффективную систему безопасности, включающую в себя обеспечение надёжной защиты рабочих мест, выявление и остановку атак любой сложности на ранних стадиях, сбор актуальных данных о кибератаках в мире и обучение сотрудников базовым навыкам цифровой грамотности;
• предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence;
• в дополнение к основным средствам защиты конечных точек внедрять решение безопасности корпоративного уровня, которое обнаруживает современные угрозы на сетевом уровне на ранней стадии, например Kaspersky Anti Targeted Attack Platform;
• регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием фишинга, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform. Для расширения навыков ИБ-специалистов подойдут продвинутые тренинги от экспертов «Лаборатории Касперского».