Китай, імовірно, випробував нову кіберзброю на одній з сусідніх країн

Атака починалася з повідомлень для цільового фішингу, що приходять нібито від адресатів з держапарату. При спробі жертви відкрити документи, які мають офіційний вигляд, завантажувалися шаблони .RTF, інфіковані за допомогою інструментарію Royal Road.

Цікаво Натхненні природою: як створювався дизайн навушників Huawei FreeBuds 4i

Як здійснювали атаку

Популярний у китайських кіберзлочинних угруповань, Royal Road експлуатує уразливості редактора рівнянь Microsoft Word:

• CVE-2017-11882,
• CVE-2018-0798,
• CVE-2018-0802.

Вбудований в RTF-файл скрипт створює відкладене завдання Windows Update і виконує інші дії. Крім того, він відсилає попередню інформацію про жертву на командний сервер. Якщо її вважатимуть цікавою, починається другий етап атаки, на якому завантажується бекдор оригінальної розробки під внутрішнім ім'ям VictoryDll_x86.dll.

Це ПЗ здатне виконувати безліч функцій, орієнтованих на шпигунство:

• читання/запис/видалення файлів,
• запуск команд через cmd.exe,
• захоплення екрану,
• створення/завершення процесів,
• отримання імен вікон верхнього рівня, ключів реєстру, вмісту таблиць UDP/TCP, детальної інформації про користувача і комп'ютер,
• і навіть відключення ПК.

Здобуті відомості переправляються на командний сервер американського провайдера, початкові ж етапи кібератаки координують сервери, що знаходяться в Гонконзі і в Малайзії.

Зловмисників цікавлять не тільки холодні дані, але і те, що відбувається на персональному комп'ютері цілі в будь-який момент. Хоча ми змогли заблокувати описану операцію стеження за владою країни в Південно-Східній Азії, цілком можливо, що злочинна група використовує свою нову зброю кібершпіонажу проти інших цілей по всьому світу,
– коментує глава Служби аналітики загроз в CPR, Лотем Фінкельстін.