Hackers da China visam militares e governo vietnamitas - Anonymous Hacker

[Latest News][6]

Adobe
Análise de Vulnerabilidade
ANDROID
ANONYMOUS
Anti Vírus
ANTI-DDOS
ANTI-SPYWARES E ADWARES
Antivírus
APK PRO
APOSTILAS
apps
Ativador
CIÊNCIA
Compartilhadores
Computador pc
CURSO PHP
CURSO TCP / IP
CURSOS
Cursos Diversos
CYBORG
CYBORG FALÇÃO
DDOS
DEEPWEB
Desenvolvimento Web
DICAS
Diversos
DOCUMENTARIO
DoS
Editor de Áudio
Editor de Imagem
Editor de Texto
Editor de Vídeo
Engenharia
EXPLOIT
FACEBOOK
Ferramentas de rede
FORENSE DIGITAL
Fundamentos financeiros
Gravadores
Internet
INVASÕES
IPHONE
JOGOS
KALI LINUX
Limpeza e Utilitários
Lixão
MAC OS
macOS
Malware
Manutenção de Pcs
MySQL
NOTÍCIAS
PAGINA FAKE
PHP SCRIPT
Produtividade
Programa De Invasao
PROGRAMAÇÃO
PROGRAMAS
PROXY
SCRIPTS
SEGURANÇA
Seo
SHELL
SISTEMA OPERACIONAL
TÉCNICA DE INVASÃO
Termux
tools
Utilitários
VIDEOS
VPN
WHATSAPP
WINDOWS
Wireless Attacks
z=

Hackers da China visam militares e governo vietnamitas


Um grupo de hackers relacionado a um ator de ameaças que fala chinês foi vinculado a uma campanha de ciberespionagem avançada que visa organizações governamentais e militares no Vietnã.



Os ataques foram atribuídos com baixa confiança à ameaça persistente avançada (APT) chamada Cycldek (ou Goblin Panda, Hellsing, APT 27 e Conimes), que é conhecida por usar técnicas de spear-phishing para comprometer alvos diplomáticos no Sudeste Asiático, Índia e os EUA pelo menos desde 2013.


De acordo com pesquisadores da Kaspersky, a ofensiva, observada entre junho de 2020 e janeiro de 2021, aproveita um método chamado carregamento lateral de DLL para executar o código de shell que descriptografa uma carga final chamada " FoundCore ".


O carregamento lateral de DLL tem sido uma técnica experimentada e testada usada por vários agentes de ameaças como uma tática de ofuscação para contornar as defesas antivírus. Ao carregar DLLs maliciosas em executáveis ​​legítimos, a ideia é mascarar sua atividade maliciosa em um sistema confiável ou processo de software.


Nesta cadeia de infecção revelada pela Kaspersky, um componente legítimo do Microsoft Outlook carrega uma biblioteca maliciosa chamada "outlib.dll", que "sequestra o fluxo de execução pretendido do programa para decodificar e executar um shellcode colocado em um arquivo binário, rdmin.src . "


Além do mais, o malware vem com uma camada extra projetada explicitamente para proteger o código da análise de segurança e dificultar a engenharia reversa. Para conseguir isso, diz-se que o agente de ameaça por trás do malware apagou a maior parte do cabeçalho da carga útil , deixando o resto com valores incoerentes. 


Kaspersky disse que o método "sinaliza um grande avanço em sofisticação para os invasores nesta região".


Além de dar aos invasores controle total sobre o dispositivo comprometido, o FoundCore vem com recursos para executar comandos para manipulação do sistema de arquivos, manipulação de processos, captura de imagens e execução arbitrária de comandos. As infecções envolvendo o FoundCore também baixaram dois malwares adicionais. O primeiro, DropPhone, reúne informações relacionadas ao ambiente da máquina da vítima e as exfiltra para o DropBox, enquanto o segundo, CoreLoader, executa um código que permite que o malware frustre a detecção por produtos de segurança.


A empresa de segurança cibernética teorizou que os ataques se originam de uma campanha de spear-phishing ou outras infecções precursoras, que desencadeiam o download de documentos RTF enganosos de um site desonesto, levando à implantação do FoundCore.


Entre dezenas de organizações afetadas, 80% delas estão sediadas no Vietnã e pertencem ao setor governamental ou militar, ou estão relacionadas à saúde, diplomacia, educação ou setores políticos, com outras vítimas, ocasionalmente detectadas na Ásia Central e na Tailândia .


“Não importa qual grupo orquestrou esta campanha, ela constitui um avanço significativo em termos de sofisticação”, concluíram os pesquisadores. "Aqui, eles adicionaram muito mais camadas de ofuscação e engenharia reversa significativamente complicada."


"E isso sinaliza que esses grupos podem estar procurando expandir suas atividades. No momento, pode parecer que esta campanha é mais uma ameaça local, mas é altamente provável que a porta dos fundos do FoundCore seja encontrada em mais países em diferentes regiões do futuro ", disse o pesquisador de segurança sênior da Kaspersky, Mark Lechtik.



Sobre Luiz Paulo

quando uma impressora desconhecida pegou uma galera do tipo e a mexeu para fazer um livro de espécimes do tipo. Ele sobreviveu não apenas cinco séculos.

Nenhum comentário:

Postar um comentário

Start typing and press Enter to search