Eset изучила новую атаку группировки BlackTech

Подпишитесь на наш Telegram-канал @contentreview

Международная антивирусная компания Eset зафиксировала новую вредоносную кампанию группировки BlackTech. Злоумышленники распространяют бэкдор Plead, используя скомпрометированные цифровые сертификаты Asus Cloud Corporation, которые маскируют угрозу под легитимное ПО и помогают обходить защиту.

Схема атаки выглядит следующим образом: облачное хранилище Asus направляет запрос на легитимный сервер для получения бинарного файла с последней версией обновления системы. На этом этапе злоумышленники подставляют собственный URL-адрес, ведущий на вредоносный файл.

Загрузка файла происходит с сервера, который имитирует название легитимного сервера Asus. После загрузки вредоносный файл сохраняется в ОС и запускается при каждом входе пользователя в систему.

Eset не исключает, что подмена сертификатов могла происходить в рамках атаки на цепочку поставок. Другим вариантом представляется атака через посредника (man-in-the-middle) — злоумышленники компрометируют роутер, пользуясь уязвимостями облачного хранилища Asus WebStorage.

Вредоносная активность зафиксирована на территории Тайваня в конце апреля. Как полагают эксперты Eset, за ней стоит группировка BlackTech, которая известна кибершпионажем в странах Азии.

Eset связалась с Asus Cloud Corporation и сообщила об угрозе.

Присоединяйтесь к нашему каналу в Telegram, группам ВКонтакте и Facebook!
comments powered by Disqus