Эксперты Check Point обнаружили новую кампанию китайской хак-группы Tropic Trooper, в рамках которой применяются новый загрузчик Nimbda и новый вариант трояна Yahoyah. Малварь скрывается в инструменте с говорящим названием SMS Bomber, рассчитанном на «начинающих» злоумышленников.
SMS Bomber, как можно понять из названия, позволяет ввести номер телефона, который нужно «засыпать» сообщениями и потенциально вывести устройство из строя, осуществив атаку типа «отказ в обслуживании» (DoS). Обычно такие готовые инструменты предназначаются для скрипит-кидди, которые хотят кого-то атаковать, но собственных умений им не хватает.
Атака на неудачливого скрипт-кидди начинается с загрузки вредоносной версии SMS Bomber (на китайском языке), которая содержит не только саму программу для SMS-бомбардировки, но и дополнительный код, который осуществляет инжект в процесс notepad.exe.
Отчет Check Point гласит, что загруженный исполняемый файл на самом деле является загрузчиком Nimbda, который предусмотрительно использует значок SMS Bomber и даже сам SMS Bomber в качестве встроенного исполняемого файла.
Загрузчик внедряет шелл-код в процесс notepad.exe, чтобы получить доступ к репозиторию GitHub или Gitee, получить обфусцированный исполняемый файл, декодировать его, а затем запустить с помощью процесса dllhost.exe.
Полезная нагрузка представляет собой новый вариант малвари Yahoyah, который собирает данные о хосте и передает на управляющий сервер. Информация, собираемая Yahoyah, включает:
Финальный пейлоад, разворачиваемый Yahoyah, кодируется в изображение JPG с использованием стеганографии. Check Point идентифицирует эту угрозу как TClient, известный бэкдор группировки Tropic Trooper, ранее уже использовавшийся хакерами в других кампаниях.
Группировка Tropic Trooper, также известная под именами Earth Centaur, KeyBoy и Pirate Panda, известна благодаря своим атакам на различные цели на Тайване, в Гонконге и на Филиппинах. Чаще всего жертвами этих злоумышленников, которые специализируются на шпионаже, становятся правительственные организации, здравоохранение, транспортные и высокотехнологичные отрасли.
Исследователи пишут, что использование такого необычного инструмента, как SMS Bomber для этой кампании говорит о ее узкой и весьма необычной направленности. Вероятно, выбор хакеров основан на неких данных, собранных во время предыдущих шпионских кампаний.
SMS Bomber, как можно понять из названия, позволяет ввести номер телефона, который нужно «засыпать» сообщениями и потенциально вывести устройство из строя, осуществив атаку типа «отказ в обслуживании» (DoS). Обычно такие готовые инструменты предназначаются для скрипит-кидди, которые хотят кого-то атаковать, но собственных умений им не хватает.
Атака на неудачливого скрипт-кидди начинается с загрузки вредоносной версии SMS Bomber (на китайском языке), которая содержит не только саму программу для SMS-бомбардировки, но и дополнительный код, который осуществляет инжект в процесс notepad.exe.
Отчет Check Point гласит, что загруженный исполняемый файл на самом деле является загрузчиком Nimbda, который предусмотрительно использует значок SMS Bomber и даже сам SMS Bomber в качестве встроенного исполняемого файла.
Загрузчик внедряет шелл-код в процесс notepad.exe, чтобы получить доступ к репозиторию GitHub или Gitee, получить обфусцированный исполняемый файл, декодировать его, а затем запустить с помощью процесса dllhost.exe.
Полезная нагрузка представляет собой новый вариант малвари Yahoyah, который собирает данные о хосте и передает на управляющий сервер. Информация, собираемая Yahoyah, включает:
- SSID локальной беспроводной сети;
- имя компьютера;
- MAC-адрес;
- версию ОС;
- данные об установленных антивирусных продуктах;
- информацию о наличии файлов WeChat и Tencent.
Финальный пейлоад, разворачиваемый Yahoyah, кодируется в изображение JPG с использованием стеганографии. Check Point идентифицирует эту угрозу как TClient, известный бэкдор группировки Tropic Trooper, ранее уже использовавшийся хакерами в других кампаниях.
Группировка Tropic Trooper, также известная под именами Earth Centaur, KeyBoy и Pirate Panda, известна благодаря своим атакам на различные цели на Тайване, в Гонконге и на Филиппинах. Чаще всего жертвами этих злоумышленников, которые специализируются на шпионаже, становятся правительственные организации, здравоохранение, транспортные и высокотехнологичные отрасли.
Исследователи пишут, что использование такого необычного инструмента, как SMS Bomber для этой кампании говорит о ее узкой и весьма необычной направленности. Вероятно, выбор хакеров основан на неких данных, собранных во время предыдущих шпионских кампаний.