В день, когда мир чествует Далай-ламу, киберпреступники наносят удар по его последователям
NewsMakerGhostChat и PhantomPrayers маскируют самую дерзкую кибератаку на тибетцев.
Кибершпионская операция с участием китайской группировки вновь нацелена на тибетское сообщество — и делает это особенно дерзко накануне важной даты: 90-летия Далай-ламы. Согласно исследованию команды Zscaler ThreatLabz, сразу две масштабные атаки были развёрнуты в июне и получили условные названия Operation GhostChat и Operation PhantomPrayers. Их цель — получить доступ к системам тибетской диаспоры и выудить оттуда личную информацию с помощью сложных инструментов и социальной инженерии.
В первой атаке, GhostChat, злоумышленники скомпрометировали законный сайт, связанный с празднованием юбилея Далай-ламы. На взломанной странице ссылку на официальный адрес «tibetfund[.]org/90thbirthday» подменили на клон с доменом «thedalailama90.niccenter[.]net». Поверхностно страница выглядела идентично оригиналу, однако содержала дополнительную опцию — якобы для отправки зашифрованного послания духовному лидеру. Чтобы воспользоваться ею, предлагалось скачать мессенджер под названием TElement, представляющий собой поддельную версию открытого приложения Element, адаптированную под тибетскую аудиторию.
На деле же этот клиент включал в себя вредоносную библиотеку, которая загружалась при запуске программы и незаметно активировала Gh0st RAT — одну из наиболее известных троянов удалённого доступа, тесно связанных с различными китайскими хакерскими структурами. Эта вредоносная надстройка позволяла управлять заражённой системой дистанционно: делать скриншоты, считывать содержимое буфера обмена, записывать звук с микрофона, перехватывать видео с камеры, запускать процессы и считывать нажатия клавиш. Дополнительно JavaScript-код на сайте собирал IP-адрес и информацию о браузере посетителя, отправляя их на сервер атакующих через HTTP-запрос.
Вторая кампания, PhantomPrayers, строилась на иной социальной наживке. Злоумышленники распространяли программу под названием «DalaiLamaCheckin.exe» с домена «hhthedalailama90.niccenter[.]net». Это приложение предлагало пользователям «отметиться» на интерактивной карте и послать благословение Далай-ламе, якобы к его юбилею. Под видом невинного интерфейса скрывался загрузчик другого вредоносного ПО — PhantomNet (он же SManager), который использовал технику подгрузки вредоносных DLL-файлов, маскируясь под легитимные компоненты системы.
Как уточнили специалисты, PhantomNet связывался с управляющим сервером через TCP-соединение и мог принимать дополнительные модули в формате DLL. Передача данных шла в зашифрованном виде с использованием AES. Программа могла быть настроена на работу только в определённые дни или часы, однако в зафиксированной версии эта возможность не была активирована. Модульная структура позволяла атакующим гибко управлять заражёнными машинами, сохраняя максимальную скрытность.
Такого рода операции — не единичный случай. За последние два года подобные атаки на тибетское сообщество уже проводились группировками EvilBamboo, Evasive Panda и TAG-112. Все они использовали стратегию заражения через популярные среди целевой аудитории сайты, что известно как атаки Watering hole . Основная цель — добыча чувствительной информации и слежка за политически активными представителями тибетской диаспоры. Особое внимание злоумышленники уделяют шифровке и скрытности, активно применяя как старые, так и новые методы маскировки.
Кибершпионская операция с участием китайской группировки вновь нацелена на тибетское сообщество — и делает это особенно дерзко накануне важной даты: 90-летия Далай-ламы. Согласно исследованию команды Zscaler ThreatLabz, сразу две масштабные атаки были развёрнуты в июне и получили условные названия Operation GhostChat и Operation PhantomPrayers. Их цель — получить доступ к системам тибетской диаспоры и выудить оттуда личную информацию с помощью сложных инструментов и социальной инженерии.
В первой атаке, GhostChat, злоумышленники скомпрометировали законный сайт, связанный с празднованием юбилея Далай-ламы. На взломанной странице ссылку на официальный адрес «tibetfund[.]org/90thbirthday» подменили на клон с доменом «thedalailama90.niccenter[.]net». Поверхностно страница выглядела идентично оригиналу, однако содержала дополнительную опцию — якобы для отправки зашифрованного послания духовному лидеру. Чтобы воспользоваться ею, предлагалось скачать мессенджер под названием TElement, представляющий собой поддельную версию открытого приложения Element, адаптированную под тибетскую аудиторию.
На деле же этот клиент включал в себя вредоносную библиотеку, которая загружалась при запуске программы и незаметно активировала Gh0st RAT — одну из наиболее известных троянов удалённого доступа, тесно связанных с различными китайскими хакерскими структурами. Эта вредоносная надстройка позволяла управлять заражённой системой дистанционно: делать скриншоты, считывать содержимое буфера обмена, записывать звук с микрофона, перехватывать видео с камеры, запускать процессы и считывать нажатия клавиш. Дополнительно JavaScript-код на сайте собирал IP-адрес и информацию о браузере посетителя, отправляя их на сервер атакующих через HTTP-запрос.
Вторая кампания, PhantomPrayers, строилась на иной социальной наживке. Злоумышленники распространяли программу под названием «DalaiLamaCheckin.exe» с домена «hhthedalailama90.niccenter[.]net». Это приложение предлагало пользователям «отметиться» на интерактивной карте и послать благословение Далай-ламе, якобы к его юбилею. Под видом невинного интерфейса скрывался загрузчик другого вредоносного ПО — PhantomNet (он же SManager), который использовал технику подгрузки вредоносных DLL-файлов, маскируясь под легитимные компоненты системы.
Как уточнили специалисты, PhantomNet связывался с управляющим сервером через TCP-соединение и мог принимать дополнительные модули в формате DLL. Передача данных шла в зашифрованном виде с использованием AES. Программа могла быть настроена на работу только в определённые дни или часы, однако в зафиксированной версии эта возможность не была активирована. Модульная структура позволяла атакующим гибко управлять заражёнными машинами, сохраняя максимальную скрытность.
Такого рода операции — не единичный случай. За последние два года подобные атаки на тибетское сообщество уже проводились группировками EvilBamboo, Evasive Panda и TAG-112. Все они использовали стратегию заражения через популярные среди целевой аудитории сайты, что известно как атаки Watering hole . Основная цель — добыча чувствительной информации и слежка за политически активными представителями тибетской диаспоры. Особое внимание злоумышленники уделяют шифровке и скрытности, активно применяя как старые, так и новые методы маскировки.