Китайские хакеры атаковали российское правительство обновленным вирусом RAT

Александр Гайдамашко

Основные тезисы

Китайская хакерская группа IronHusky атаковала российские и монгольские правительственные учреждения с использованием обновленного вируса MysterySnail RAT, позволяющего получить удаленный контроль над устройствами.
Новая версия вируса MysteryMonoSnail, обнаруженная исследователями, позволяет операторам выполнять широкий спектр команд для полного контроля над зараженными компьютерами...

Китайские хакеры захватывают компьютеры российского правительства новым вирусом

Китай атакует Россию / Коллаж 24 Канала

Китайская хакерская группа IronHusky нацелилась на российские и монгольские правительственные учреждения. Они используют обновленную версию вредоносного ПО MysterySnail RAT, встроенную в фальшивые документы Word, чтобы получить удаленный контроль над зараженными устройствами.

Лучшие друзья

IronHusky уже не впервые использует это ПО в своих шпионских кампаниях, но исследователи обнаружили новую активность этой группы при анализе свежих киберинцидентов. Хакеры распространяли вредоносный код через измененный скрипт, замаскированный под файл Word. После открытия документа на зараженный компьютер незаметно загружалось новое программное обеспечение, которое обеспечивало присутствие в системе, сообщает 24 Канал со ссылкой на BleepingComputer.

Одно из обнаруженных ПО – это промежуточный бэкдор, позволяющий пересылать файлы со сломанного устройства на сервер IronHusky, запускать командные оболочки, создавать новые процессы, удалять файлы и выполнять другие действия.

Найденные вирусные файлы оставляют следы, похожие на MysterySnail RAT, впервые описанный еще в 2021 году. Тогда он был встроен в зараженные системы как фоновый сервис. Теперь же исследователи зафиксировали появление облегченной однокомпонентной версии вируса, которую они назвали MysteryMonoSnail. Эта новая версия RAT поддерживает десятки команд.

Операторы вируса могут управлять службами на зараженном устройстве, выполнять команды из командной строки, запускать или останавливать процессы, оперировать файлами и совершать другие действия, дающие полный контроль над компьютером жертвы.

Когда MysterySnail RAT был впервые обнаружен, он был направлен против IT-компаний, оборонных подрядчиков и дипломатических учреждений в России и Монголии. Тогда IronHusky распространяли вредоносное ПО через эксплойты нулевого дня, которые использовали уязвимость в драйверах ядра Windows.

Сама же группа IronHusky в поле зрения исследователей по всему миру еще в 2017 году. Тогда она осуществляла атаки, целью которых был сбор информации о военных переговорах между Россией и Монголией. В 2018 году они снова активизировались, используя уже другую уязвимость в Microsoft Office, которую также эксплуатировали другие китайские группы, PlugX и PoisonIvy.

Стоит отметить, что выявлением, изучением и описанием нового вируса и этой атаки занимались сами же россияне, а именно "Лаборатория Касперского". То есть они прекрасно знают, что Китай, их ближайший союзник в войне против Украины, устраивает кибератаки на правительственные ресурсы. Однако это, судя по всему, является для России допустимой ценой, на которую они готовы закрывать глаза в обмен на помощь, которую оказывает Пекин. Например, неделю назад президент Зеленский заявил, что Китай поставляет России оружие, в частности порох и артиллерию, и может производить его на российской территории.