Было обнаружено, что известный китайский хакер злоупотребляет уязвимостью в известной антивирусной программе для доставки вредоносного ПО высокопоставленным целям в Японии.
Исследователи кибербезопасности из «Лаборатории Касперского» недавно обнаружили, что Cicada, также известная как APT10, обманом заставляет сотрудников различных организаций в Японии — от медиа-компаний до правительственных учреждений — загружать скомпрометированную версию K7Security Suite компании.
Те, кто попадется на уловку, в конечном итоге получают LODEINFO, вредоносное ПО трехлетней давности, способное, среди прочего, выполнять PE-файлы и шелл-код, загружать и скачивать файлы, убивать процессы и отправлять списки файлов.
неопубликованная загрузка DLL
Вредоносное ПО распространяется с помощью практики, известной как неопубликованная загрузка DLL. Во-первых, жертву нужно направить на фальшивую страницу загрузки K7Security Suite, где они смогут загрузить программное обеспечение. Сам исполняемый файл установки не будет вредоносным — это будет настоящее антивирусное решение. Однако в той же папке может находиться вредоносная DLL с именем K7SysMn1.dll.
Во время обычной установки исполняемый файл будет искать файл с именем K7SysMn1.dll, который обычно не является вредоносным. Если он найдет его в той же папке, где он находится, он не будет искать дальше и вместо этого запустит этот файл.
Затем субъекты угрозы создадут вредоносный файл, содержащий вредоносное ПО LODEINFO, и присвоят ему имя файла K7SysMn1.dll. Другими словами, это антивирус. (откроется в новой вкладке) программа, которая в конечном итоге загружает вредоносное ПО на целевую конечную точку. А учитывая, что его загружает законное приложение безопасности, другое программное обеспечение безопасности может не определить его как вредоносное.
Исследователи не смогли определить, сколько организаций стали жертвами этой атаки или какова конечная цель кампании. Однако, учитывая цели, наиболее очевидным ответом является кибершпионаж.
Неопубликованная загрузка файлов .DLL не является новым подходом. В августе 2022 года сообщалось, что Защитник Windows был использован для загрузки неопубликованного LockBit 3.0, печально известного варианта программы-вымогателя.
С помощью: BleepingКомпьютер (откроется в новой вкладке)
