Известный китайский злоумышленник перерабатывает старое вредоносное ПО (откроется в новой вкладке)в попытке избежать обнаружения, сократить расходы и отправить исследователей в погоню за дикими гусями.
В отчете Symantec говорится, что группа, известная как Webworm, использовала как минимум три древних варианта вредоносных программ (и под «древними» мы подразумеваем период с 2008 по 2017 год), немного модифицировала их, а затем протестировала против поставщиков ИТ-услуг. в Азии, чтобы увидеть, как они работают.
Учитывая возраст вредоносных программ, они иногда умудряются летать под антивирусом (откроется в новой вкладке) радары решений, добавили они.
Скрытные крысы
Первый называется Trochilus RAT, находится в обращении как минимум с 2015 года и находится в свободном доступе на GitHub.
Впервые он был обнаружен при нападении на людей, посещающих веб-сайт Мьянмы. Веб-червь настроил его так, чтобы он мог загружать свою конфигурацию из файла, проверяя набор жестко заданных каталогов. Также было сказано, что он может перемещаться в поперечном направлении через конечные точки. (откроется в новой вкладке) в целевой сети для лучшего доступа. Второй — 9002 RAT, скрытный троян удаленного доступа, который теперь получил улучшенное шифрование для своего протокола связи, что сделало его еще более трудным для обнаружения.
Наконец, третий называется Gh0st RAT, троян 14-летней давности, который теперь поставляется с «несколькими уровнями обфускации, обходом UAC, распаковкой шелл-кода и запуском в памяти».
Хотя трудно точно сказать, кто из злоумышленников стоит за возрождением Webworm, Symantec, похоже, полагает, что это та же группа, что и Space Pirates — китайский злоумышленник, обнаруженный Positive Technologies в мае этого года. Тогда компания Positive Technologies проанализировала Gh0st RAT и назвала ее Deed RAT.
В любом случае Webworm — это известная киберпреступная группа, которая действует как минимум с 2017 года. В прошлом эта группа была связана с различными атаками на ИТ-компании, аэрокосмические организации, а также поставщиков электроэнергии в России, Грузии и других странах. Монголия.
С помощью: BleepingКомпьютер (откроется в новой вкладке)
