США и Китай играют в кибервойну

США и Китай играют в кибервойну

Как стало известно The Guardian, США и Китай тайно проводят учения с целью избежать вспышки военных действий в ответ на кибератаки. "Военные игры" проходят на фоне растущего в Вашингтоне негодования по поводу масштабов и дерзости координируемых Пекином кибератак против западных правительств и крупного бизнеса.

"Представители Госдепартамента и Пентагона и их китайские коллеги в прошлом году участвовали в двух военных играх, разработанных для того, чтобы помочь предотвратить внезапную эскалацию военного конфликта между сторонами на случай, если она из сторон почувствует себя мишенью атаки. Новая сессия запланирована на май", - сообщает Ник Хопкинс.

"Китай пришел к выводу, что соотношение сил изменилось, причем благоприятным для китайцев образом", - утверждает Джим Льюис, старший научный сотрудник и директор Центра стратегических и международных исследований (CSIS) в Вашингтоне, передает inopressa.

Китайская Народно-освободительная армия настроена очень враждебно, добавил он. "Они рассматривают США как мишень. И они думают, что США сейчас переживают спад".

Военные игры были организованы с помощью CSIS и Китайского института современных международных отношений, рассказывается в эксклюзивном материале издания. Это позволило правительственным чиновникам и представителям разведслужб вступить в контакт в менее официальной обстановке.

Во время первого упражнения обе стороны должны были решить, что они будут делать, если подвергнутся атаке сложного компьютерного вируса, такого как Stuxnet, который вывел из строя центрифуги иранской ядерной программы. Во время второго - должны были описать свою реакцию в случае атаки другой стороны.

"Обе военные игры были довольно увлекательны, - сказал Льюис. - Первая прошла хорошо, вторая - не так хорошо".

"Китайцы очень проницательны. Они посылают знающих людей... Они считают, что пережили эпоху империализма и век унижений", - отметил он. У китайцев есть "ощущение, что с ними обращались несправедливо", а также "глубокое недоверие к США". "Они обеспокоены по поводу американских военных мощностей, - сказал Льюис. - Они склонны думать, что у нас есть стратегия по сохранению американской гегемонии, и видят в этом непосредственную угрозу".

По его словам, китайские чиновники, предпочитающие сотрудничество, не так сильны, как люди, предпочитающие конфликт.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Группа Unicorn обновила стилер и возобновила атаки на российские компании

Эксперты отдела Threat Intelligence компании F6 рассказали об обновлении программы-стилера, которую использует киберпреступная группа Unicorn. Эта группировка действует с сентября 2024 года и регулярно атакует российские организации из разных отраслей.

Согласно наблюдениям F6, злоумышленники ведут себя предсказуемо: используют одинаковые домены для связи с командным сервером (C2) и почти не меняют свой самописный стилер Unicorn. Однако осенью 2025 года разработчики вредоноса внесли в него несколько заметных изменений.

Новый домен и обновлённый код

11 августа 2025 года группа зарегистрировала новый домен — van-darkholm[.]org, который почти сразу стал использоваться в атаках. С тех пор Unicorn каждую неделю проводит рассылки фишинговых писем, прикладывая архивы с вредоносными скриптами.

Цепочка заражения остаётся прежней:
письмо с архивом → HTA-файл → VBS-скрипт (с POST-запросом на Discord) → подгрузка дополнительных модулей → запуск стилера Unicorn.

В октябре F6 зафиксировала кампанию, нацеленную на финансовый сектор. Исследователи выделили три пары скриптов, отвечающих за разные этапы работы вредоноса:

  • history_log.vbs / permission_set.vbs — эксфильтрация файлов;
  • timer.vbs / shortcut_link.vbs — сбор данных из Telegram и браузеров;
  • access_rights.vbs / music_list.vbs — обновлённый модуль для связи с C2 и управления через реестр.

Последний компонент добавляет новые команды в ветку HKCU\Software\Redboother\Tool, получает инструкции с сервера и выполняет их через executeglobal. Таким образом, атакующие могут загружать и исполнять новые VBS-скрипты прямо из реестра.

Ошибки злоумышленников

Исследователи F6 отметили, что в коде стилера допущены ошибки. Скрипты из каждой пары должны закрепляться в системе разными способами — через планировщик задач и через создание ключа в реестре. Однако в текущей реализации они перезаписывают сами себя, что может нарушить механизм автозапуска. По мнению специалистов, это говорит о том, что разработчики Unicorn ещё дорабатывают инструмент и пытаются сделать его более стабильным.

Цель атак — кража данных

Главная задача стилера — сбор и экспорт конфиденциальных данных с заражённых устройств. Вредонос может извлекать файлы, cookies, сессии браузеров, историю переписок в Telegram и другие сведения, потенциально полезные для последующих атак.

F6 связывает активность Unicorn с типичными целями финансовой киберпреступности — кражей учётных данных, доступов к корпоративным сервисам и возможностью закрепления в сетях компаний.

Индикаторы компрометации

  • Домен: van-darkholm[.]org
  • SHA1-хэши вредоносных файлов и скриптов доступны в отчёте F6
  • Пути размещения заражённых файлов:
    • %LOCALAPPDATA%\Dropboxy\Public\Magnify\history_log.vbs
    • %LOCALAPPDATA%\Outlooker\Version\Detach\Drag\access_rights.vbs и другие.

Эксперты F6 рекомендуют администраторам корпоративных сетей обратить внимание на обращения к домену van-darkholm[.]org, проверить наличие подозрительных VBS-скриптов и активности в ветке реестра HKCU\Software\Redboother\Tool.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru