Китайские кибершпионы распространяют вредоносное ПО через антивирусы

Деятельность китайских хакеров из Moshen Dragon была проанализирована компанией SentinelOne, специализирующейся на безопасности конечных точек. Специалисты сравнили методы атак злоумышленников и обнаружили совпадения с методами группировок RedFoxtrot и Nomad Panda.

SentinelOne еще в начале мая сообщила об использовании хакерами антивирусов для боковой загрузки вредоносных DLL и доставки вредоносного ПО в системы организаций, большая часть которых находилась в Центральной Азии.

"Хакеры Moshen Dragon регулярно пользовались антивирусами для перехвата поиска DLL. Перехваченная DLL использовалась для расшифровки и загрузки конечной полезной нагрузки, хранящейся в той же папке, но в другом файле", – пояснили специалисты SentinelOne.

SentinelOne назвала целями атак злоумышленников продукты Symantec, Trend Micro, Bitdefender, McAfee и Kaspersky. Но только Trend Micro обнаружила и исправила уязвимость, 19 мая развернув обновление безопасности через систему ActiveUpdate. Эксперты компании в своем отчете заявили, что не обнаружили свидетельств использования уязвимости против своих коммерческих и бизнес-продуктов.

Напомним, мы ранее писали про атаки Moshen Dragon на телекоммуникационный сектор Центральной Азии. Хакеры загружали в системы жертв вредоносное ПО ShadowsPad и PlugX, а также использовали бэкдор Gunters.