Этот передовой новый штамм вредоносного ПО делает вас практически беззащитным
8 июня 2022 г.Чрезвычайно мощное вредоносное ПО, доставляемое способом, невосприимчивым к большинству мер кибербезопасности, было обнаружено для заражения высокопоставленные китайцы.
Исследователи кибербезопасности из «Лаборатории Касперского» обнаружили вредоносное ПО, которое они называют WinDealer, распространяемое и используемое китайским субъектом Advanced Persistent Threat (APT) по имени LuoYu. WinDealer, говорят исследователи, способен собирать «впечатляющий объем» информации. Он может просматривать и загружать любые файлы, хранящиеся на устройстве, а также выполнять поиск по ключевым словам во всех документах.
Чтобы доставить вредоносное ПО в целевую конечную точку, злоумышленники выполняют атака на стороне, по существу перехватывающая транзитный сетевой трафик.
Поделитесь своими мыслями по кибербезопасности и получите бесплатную копию Руководства хакера 2022. Помогите нам узнать, как компании готовятся к миру после пандемии COVID-19, и влияние этих действий на их планы кибербезопасности. Введите свой адрес электронной почты в конце этого опроса, чтобы получить книжный журнал стоимостью 10,99 долл. США/10,99 фунта стерлингов.
Гонки с сервером
Когда жертва пытается получить доступ к определенному ресурсу в Интернете (например, открыть свою учетную запись LinkedIn), ей необходимо отправить запрос на сервер, чтобы открыть страницу. Этот запрос представляет собой тип трафика, который злоумышленники могут перехватить и прочитать, а затем попытаться доставить вредоносное содержимое до того, как сервер ответит законным сайтом.
«Лаборатория Касперского» описывает этот метод как «гонку» с легитимным сервером, с той лишь разницей, что у злоумышленника есть столько попыток доставить вредоносный контент, сколько он хочет. Чтобы успешно заразить целевую конечную точку, злоумышленнику не нужно вообще взаимодействовать с жертвой.
Исследователи также утверждают, что мишенями являются в основном известные организации и частные лица в Китае. Иностранные дипломатические организации, созданные в Китае, члены академического сообщества, оборонные, логистические и телекоммуникационные компании перечислены в качестве потенциальных целей. Помимо Китая, исследователи «Лаборатории Касперского» также упоминали цели в Германии, Австрии, США, Чехии, России и Индии.
Все цели используют Windows в качестве предпочтительной операционной системы.
Кроме того, что вредоносное ПО трудно обнаружить, его также трудно заблокировать. Обычно этот тип вредоносного ПО связывается с сервером управления и контроля (C2) для получения инструкций, и простой блокировки IP-адреса сервера будет достаточно, чтобы нейтрализовать угрозу. WinDealer, с другой стороны, полагается на сложный алгоритм, который генерирует IP-адреса (48 000, по словам Касперского), что делает блокировку невозможной.
Единственный способ защититься от такой атаки — направить трафик через другую сеть, например, с помощью VPN. Однако о наличии VPN в Китае легче сказать, чем сделать.