8 стран кликнули 'я не робот' — и сразу стали роботами хакеров
NewsMakerUNG0002 методично уничтожила кибербезопасность: от военных заводов до больниц.
Кибер шпионаж в Азии обостряется: специалисты Seqrite Labs раскрыли подробности об активности группировки UNG0002, также известной как Unknown Group 0002. Эта малоизвестная, но технически подготовленная структура проводит масштабные атаки на стратегически важные отрасли в Китае, Гонконге и Пакистане. В фокусе её внимания — оборонная промышленность, электроинженерия, энергетика, гражданская авиация, медицинские учреждения, университеты, IT-компании и даже сфера видеоигр.
Согласно последнему отчёту Seqrite Labs, UNG0002 проявляет явное предпочтение к использованию LNK-ярлыков, сценариев VBScript и постэксплуатационных инструментов вроде Cobalt Strike и Metasploit. Чтобы заманить жертву, злоумышленники рассылают поддельные документы, стилизованные под резюме, что делает атаки особенно правдоподобными. Анализ проводился специалистом Субхаджитом Сингхой, который подчеркнул высокий уровень адаптивности и методичности злоумышленников.
Группа развернула две крупные операции — Cobalt Whisper и AmberMist. Первая активизировалась с мая по сентябрь 2024 года, а вторая — с января по май 2025 года. Обе кампании основывались на фишинговых рассылках: вредоносные ZIP-архивы и LNK-файлы срабатывали как триггеры сложных цепочек заражения.
Операция Cobalt Whisper была впервые зафиксирована в октябре 2024 года. Тогда специалисты сообщили, что ZIP-файлы, отправленные по электронной почте, скрывали LNK и VBScript, с помощью которых на заражённую систему устанавливались модули Cobalt Strike — мощного инструмента для постэксплуатационного контроля.
В ходе более поздней операции AmberMist злоумышленники отправляли якобы резюме соискателей в виде LNK-файлов. Они запускали многоступенчатую атаку, в результате которой происходила загрузка троянов INET RAT и Blister DLL. Первый, как предполагается, является модифицированной версией ранее известного шпионского ПО Shadow RAT, а второй используется как загрузчик шеллкода для установки удалённого доступа.
Особый интерес вызывает альтернативный сценарий атаки, зафиксированный в январе 2025 года. Тогда жертв перенаправляли на поддельную страницу, стилизованную под сайт Министерства морских дел Пакистана. Там предлагалось пройти проверку CAPTCHA, а на деле происходил запуск PowerShell-команд с помощью приёма ClickFix . Эти команды активировали Shadow RAT, устанавливая незаметный канал связи с сервером злоумышленников.
Функциональность вредоносных программ, задействованных в кампании, поражает: Shadow RAT, например, использует DLL Sideloading и поддерживает удалённое выполнение команд, что делает его незаметным для многих систем защиты. Сценарий атаки постоянно дорабатывается, а технический арсенал совершенствуется. При этом методы заражения — фишинговые письма, подделка официальных сайтов, использование актуальных приманок — остаются стабильными.
Хотя прямые доказательства происхождения UNG0002 отсутствуют, косвенные признаки указывают на регион Южной или Юго-Восточной Азии. Специалисты называют эту группу стойкой и крайне изобретательной: несмотря на обнаружение некоторых её инструментов, она продолжает развивать инфраструктуру, наращивать арсенал и не теряет активности.
События подтверждают нарастающий тренд: фишинг и DLL Sideloading остаются эффективными в кибершпионаже, а целевые атаки против ключевых отраслей — стратегическим направлением, которое продолжит развиваться.
Кибер шпионаж в Азии обостряется: специалисты Seqrite Labs раскрыли подробности об активности группировки UNG0002, также известной как Unknown Group 0002. Эта малоизвестная, но технически подготовленная структура проводит масштабные атаки на стратегически важные отрасли в Китае, Гонконге и Пакистане. В фокусе её внимания — оборонная промышленность, электроинженерия, энергетика, гражданская авиация, медицинские учреждения, университеты, IT-компании и даже сфера видеоигр.
Согласно последнему отчёту Seqrite Labs, UNG0002 проявляет явное предпочтение к использованию LNK-ярлыков, сценариев VBScript и постэксплуатационных инструментов вроде Cobalt Strike и Metasploit. Чтобы заманить жертву, злоумышленники рассылают поддельные документы, стилизованные под резюме, что делает атаки особенно правдоподобными. Анализ проводился специалистом Субхаджитом Сингхой, который подчеркнул высокий уровень адаптивности и методичности злоумышленников.
Группа развернула две крупные операции — Cobalt Whisper и AmberMist. Первая активизировалась с мая по сентябрь 2024 года, а вторая — с января по май 2025 года. Обе кампании основывались на фишинговых рассылках: вредоносные ZIP-архивы и LNK-файлы срабатывали как триггеры сложных цепочек заражения.
Операция Cobalt Whisper была впервые зафиксирована в октябре 2024 года. Тогда специалисты сообщили, что ZIP-файлы, отправленные по электронной почте, скрывали LNK и VBScript, с помощью которых на заражённую систему устанавливались модули Cobalt Strike — мощного инструмента для постэксплуатационного контроля.
В ходе более поздней операции AmberMist злоумышленники отправляли якобы резюме соискателей в виде LNK-файлов. Они запускали многоступенчатую атаку, в результате которой происходила загрузка троянов INET RAT и Blister DLL. Первый, как предполагается, является модифицированной версией ранее известного шпионского ПО Shadow RAT, а второй используется как загрузчик шеллкода для установки удалённого доступа.
Особый интерес вызывает альтернативный сценарий атаки, зафиксированный в январе 2025 года. Тогда жертв перенаправляли на поддельную страницу, стилизованную под сайт Министерства морских дел Пакистана. Там предлагалось пройти проверку CAPTCHA, а на деле происходил запуск PowerShell-команд с помощью приёма ClickFix . Эти команды активировали Shadow RAT, устанавливая незаметный канал связи с сервером злоумышленников.
Функциональность вредоносных программ, задействованных в кампании, поражает: Shadow RAT, например, использует DLL Sideloading и поддерживает удалённое выполнение команд, что делает его незаметным для многих систем защиты. Сценарий атаки постоянно дорабатывается, а технический арсенал совершенствуется. При этом методы заражения — фишинговые письма, подделка официальных сайтов, использование актуальных приманок — остаются стабильными.
Хотя прямые доказательства происхождения UNG0002 отсутствуют, косвенные признаки указывают на регион Южной или Юго-Восточной Азии. Специалисты называют эту группу стойкой и крайне изобретательной: несмотря на обнаружение некоторых её инструментов, она продолжает развивать инфраструктуру, наращивать арсенал и не теряет активности.
События подтверждают нарастающий тренд: фишинг и DLL Sideloading остаются эффективными в кибершпионаже, а целевые атаки против ключевых отраслей — стратегическим направлением, которое продолжит развиваться.