Нападения на Италию: целью кибершпионажа стали компании и государственные организации

Китайская хакерская группа APT17 активизировала свою деятельность, нацелившись на итальянские компании и государственные учреждения с использованием варианта известного вредоносного программного обеспечения, известного как 9002 RAT. По информации итальянской кибербезопасной компании TG Soft, две направленные атаки были проведены 24 июня и 2 июля 2024 года.

Первая кампания использовала документ Office, тогда как вторая содержала ссылку. Обе кампании предлагали жертвам установить пакет Skype for Business по ссылке, имитирующей домен итальянского правительства, что привело к распространению варианта 9002 RAT.

APT17, впервые задокументированная в 2013 году компанией Mandiant (тогда ещё FireEye), известна своей участием в операциях кибершпионажа под названиями DeputyDog и Ephemeral Hydra. Эти операции использовали уязвимости в Internet Explorer от Microsoft для взлома целей.

9002 RAT, также известный как Hydraq и McRAT, стал известен как кибероружие в операции Aurora, которая была направлена против Google и других крупных компаний в 2009 году. Позднее он использовался и в других кампаниях, например, в Sunshop 2013 года, где атакующие внедряли зловредные перенаправления на несколько сайтов.

В последних атаках использовались копья-фишинг для того, чтобы склонить получателей нажать на ссылку, которая предлагает скачать установщик MSI для Skype for Business («SkypeMeeting.msi»).

Запуск MSI пакета инициирует выполнение файла Java-архива (JAR) через Visual Basic Script (VBS), одновременно устанавливая легитимное чат-приложение на систему Windows. Java-приложение, в свою очередь, расшифровывает и выполняет шелл-код, отвечающий за запуск 9002 RAT.

9002 RAT является модульным трояном и обладает функциями для мониторинга сетевого трафика, захвата скриншотов, перечисления файлов, управления процессами и выполнения дополнительных команд, получаемых от удаленного сервера, что облегчает обнаружение в сети.