ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Целью новой кампании, направленной на китайскоязычных пользователей, является использование троянской версии программы просмотра PDF-файлов SumatraPDF для установки агента AdaptixC2 Beacon, предназначенного для действий после проникновения в систему, и, в конечном итоге, для злоупотребления туннелями Microsoft Visual Studio Code (VS Code) с целью получения удаленного доступа.

Zscaler ThreatLabz, обнаруживший эту кампанию в прошлом месяце, с высокой степенью уверенности приписывает ее Tropic Trooper (также известной как APT23, Earth Centaur, KeyBoy и Pirate Panda) — хакерской группе, известной своими атаками на различные организации в Тайване, Гонконге и на Филиппинах. По оценкам, она действует по крайней мере с 2011 года.

«Злоумышленники создали настраиваемый прослушиватель AdaptixC2 Beacon, используя GitHub в качестве платформы управления и контроля (C2)», — сообщил в своем анализе исследователь в области безопасности Инь Хонг Чанг.

Считается, что целями этой кампании являются китайскоязычные жители Тайваня, а также жители Южной Кореи и Японии. Отправной точкой атаки служит ZIP-архив, содержащий приманки в виде документов на военную тематику, предназначенные для запуска вредоносной версии SumatraPDF, которая затем используется для отображения поддельного PDF-документа, одновременно загружая зашифрованный шелл-код с промежуточного сервера для запуска AdaptixC2 Beacon.

Для этого исполняемый файл SumatraPDF с бэкдором запускает слегка модифицированную версию загрузчика под кодовым названием TOSHIS, который является вариантом Xiangoop — вредоносного ПО, связанного с Tropic Trooper, и ранее использовавшегося для извлечения полезных нагрузок следующего этапа, таких как Cobalt Strike Beacon или агент Merlin для фреймворка Mythic.

Загрузчик отвечает за активацию многоэтапной атаки, размещая как документ-приманку в качестве механизма отвлечения внимания, так и агент AdaptixC2 Beacon в фоновом режиме. Агент использует GitHub для связи C2, отправляя сигналы на инфраструктуру, контролируемую злоумышленником, для получения задач, которые должны быть выполнены на скомпрометированном хосте.

Атака переходит к следующему этапу только тогда, когда жертва считается ценной; в этот момент злоумышленник развертывает VS Code и настраивает туннели VS Code для удаленного доступа. На некоторых машинах было обнаружено, что злоумышленник устанавливает альтернативные троянские приложения, вероятно, в попытке лучше замаскировать свои действия.

Более того, было замечено, что промежуточный сервер, вовлеченный во взлом («158.247.193[.]100»), размещает Cobalt Strike Beacon и пользовательский бэкдор под названием EntryShell, которые оба использовались Tropic Trooper в прошлом.

«Подобно кампании TAOTH, в качестве полезной нагрузки используются общедоступные бэкдоры», — сообщила компания Zscaler. «Хотя ранее использовались Cobalt Strike Beacon и Mythic Merlin, злоумышленник теперь перешел на AdaptixC2».