Хакеры из Китая атакуют Юго-Восточную Азию

Китайские хакеры десятилетие атакуют Юго-Восточную Азию

Кирилл Токарев 13 Апреля 2015 - 23:20

...

Компания FireEye вышла на след китайской хакерской группы APT30. Согласно докладу, опубликованному 13 апреля 2015 года, с 2005 целью шпионов практически всё время были страны Юго-Восточной Азии.

Действия APT30 указывают на то, что злоумышленников особенно интересовали региональные, военные и экономические вопросы. Шпионы из Поднебесной также собирали данные о медиа организациях и журналистах, которые обсуждают КНР и легитимность правительства этой страны. В докладе есть доказательства того, что APT30 действует на территории континентального Китая. В FireEye не могут сказать, спонсирует ли хакеров государство.

В октябре 2014 года армия и полиция Китая заявили, что безопасность информации станет основой защиты страны. В рамках её укрепления инициировали централизацию безопасности военных данных и создание систем защиты КНР от кибератак. Правительство также решило разрабатывать отечественный софт для кибербезопасности, чтобы государство не зависело от иностранного ПО.

Китай и США часто обвиняют друг друга в проведении нападений. В сентябре 2014 года сенат опубликовал доклад, в котором КНР назвали организатором многочисленных взломов сетей американских оборонных компаний.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 12 Сентября 2025 - 13:52

Бэкдоры Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare использует цепочку бэкдоров в атаках на компании РФ и Беларуси

Кибергруппа Head Mare снова напомнила о себе — и на этот раз с обновлённым арсеналом. По данным «Лаборатории Касперского», летом 2025 года они провели новую волну атак на российские и белорусские компании.

Главное отличие от мартовских кампаний — теперь злоумышленники не ограничиваются одним бэкдором, а устанавливают целую цепочку.

В ход идут PhantomRemote, PhantomCSLoader и PhantomSAgent. Иногда к этому добавляются и SSH-туннели, чтобы закрепиться в инфраструктуре и держать удалённый доступ под рукой. По сути, логика проста: если один инструмент заметят и удалят, остальные останутся работать.

Атака по-прежнему стартует со стандартного сценария — рассылки писем с вредоносным вложением. В этот раз это был PhantomRemote, через который можно выполнять команды на заражённой машине.

Дальше в систему подтягиваются дополнительные компоненты — PhantomCSLoader и PhantomSAgent. Они написаны на разных языках, похожи по принципу связи с командным сервером, но отличаются внутренними механизмами. Такая комбинация усложняет задачу защитникам.

Хорошая новость в том, что продукты «Лаборатории Касперского» детектируют всю эту цепочку и способны блокировать атаки Head Mare.