Эксперты Kaspersky GReAT обнаружили кампанию кибершпионажа за правительственной организацией на Ближнем Востоке, которую китайскоговорящая кибергруппа Tropic Trooper вела как минимум с июня 2023 года. Ещё одна цель злоумышленников находилась в Малайзии. Для получения несанкционированного доступа и закрепления в корпоративной сети атакующие использовали веб-оболочку China Chopper. Это одна из наиболее известных программ для удалённого управления веб-сервером.
Как обнаружили кампанию. В июне 2024 года телеметрические системы «Лаборатории Касперского» зафиксировали ранее неизвестный вариант веб-оболочки Chopper. Эксперты Kaspersky GReAT выяснили, что она была встроена в качестве модуля в Umbraco CMS — популярную систему управления контентом. Злоумышленники использовали её для реализации широкого спектра вредоносных возможностей, включая кражу данных, полный удалённый контроль, развёртывание вредоносного ПО и обход обнаружения.
Как протекала атака. Специалисты обнаружили несколько утилит постэксплуатации и импланты, которые загружались с помощью метода dll sideloading. С их помощью злоумышленники пытались развернуть загрузчик Crowdoor. Атакующие использовали несколько версий загрузчика для обхода детектирования, однако все модули были обнаружены и задетектированы.
Другие мишени. В числе целей кибергруппы Tropic Trooper, известной с 2011 года в том числе под названиями KeyBoy и Pirate Panda, — госучреждения, организации здравоохранения, транспортные предприятия и высокотехнологичные компании в таких регионах, как Тайвань, Филиппины и Гонконг.
Чтобы защититься от подобных атак, эксперты «Лаборатории Касперского» рекомендуют организациям:
- использовать защитные технологии, которые регулярно получают награды от независимых тестовых лабораторий;
- использовать комплексные защитные решения, такие как Kaspersky Symphony, которые позволят выстроить гибкую и эффективную систему безопасности, включающую в себя обеспечение надёжной защиты рабочих мест, выявление и остановку атак любой сложности на ранних стадиях, сбор актуальных данных о кибератаках в мире и обучение сотрудников базовым навыкам цифровой грамотности;
- предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence;
- в дополнение к основным средствам защиты конечных точек внедрять решение безопасности корпоративного уровня, которое обнаруживает современные угрозы на сетевом уровне на ранней стадии, например Kaspersky Anti Targeted Attack Platform;
- регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием фишинга, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform. Для расширения навыков ИБ-специалистов подойдут продвинутые тренинги от экспертов «Лаборатории Касперского».