Китайская APT-группа атаковала целевым фишингом ЦКБ МТ Рубин

Олег Иванов 02 Мая 2021 - 13:59

Таргетированные атаки

...

Китайская APT-группа атаковала целевым фишингом ЦКБ МТ Рубин

Исследователи из команды Cybereason Nocturnus, следя за активностью операторов эксплойт-билдера RoyalRoad (8.t Dropper/RTF), вышли на интересную кампанию китайской APT-группировки. Оказалось, что целевые атаки киберпреступников были направлены на российскую оборонку.

Сначала специалисты обнаружили новые образцы RoyalRoad, которые на тот момент уже использовались в реальных кибератаках. Один из таких семплов поразил экспертов не совсем типичным поведением: он доставлял жертвам бэкдор PortDoor, ранее не попадавший в руки исследователей.

Изучив вредонос подробнее, специалисты пришли к выводу, что его операторы, скорее всего, действуют в интересах китайского правительства. Однако вишенкой на торте стало обнаружение основной цели APT-группировки — Центрального конструкторского бюро морской техники «Рубин».

Как известно, это одно из основных российских предприятий, занимающихся проектированием подводных лодок. С 1938 года ЦКБ МТ «Рубин» тесно связано с военно-морскими силами России и, соответственно, является привлекательной мишенью для правительственных киберпреступников.

На первом этапе атак китайская APT-группа использует целевой фишинг. Например, одно из таких писем пришло на имя генерального директора ЦКБ МТ «Рубин» — Игоря Владимировича Вильнита.

В письме содержалось вредоносное вложение в виде RTF-файла, оснащённого пейлоадом RoyalRoad. Согласно метаданным, этот файл был создан в 2007 году, однако злоумышленники часто меняют эти сведения, чтобы запутать исследователей или защитные механизмы.

После запуска RTF-файла на компьютер жертвы помещался документ Microsoft Word — использование этого формата также обусловлено желанием обойти детектирование. Далее в дело вступал ранее неизвестный бэкдор под именем «winlog.wll».

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Яков Шпунт 31 Марта 2026 - 20:30

Соответствие законодательству РФ Общее Системы контентной веб-фильтрации Ростелеком

Ростелеком опроверг использование белых списков для домашнего интернета

Информация об ограничении доступа в интернет для пользователей фиксированного доступа в «Ростелекоме» назвали не соответствующей действительности. В компании подчеркнули, что подобные меры могут быть оправданы только в отношении мобильного интернета.

С таким заявлением оператор выступил в комментарии для «Радио РБК». Как отметили в пресс-службе «Ростелекома», такие ограничения вводятся лишь при угрозе атак дронов.

Это объясняется тем, что мобильный интернет может использоваться для наведения боевых беспилотников на потенциальные цели. Введение аналогичных ограничений для фиксированного доступа в сеть в компании назвали лишённым смысла.

Телеграм-канал «Код Дурова», который ранее распространил информацию о том, что в Ростове некоторые пользователи фиксированного интернета столкнулись с доступом только к ресурсам из «белого списка», позже также признал, что у абонентов крупных провайдеров такой проблемы нет. По данным авторов канала, о сбоях уже несколько дней сообщают пользователи соцсетей, однако в основном речь идёт о клиентах небольших операторов.

«Источник «Кода Дурова» на телеком-рынке подтверждает, что провайдеры могут быть не причастны к ситуации, когда у пользователей открываются только российские сайты, так как ограничения могут вводиться на ТСПУ, контролируемых Роскомнадзором», — именно такую версию канал считает наиболее вероятной причиной ограничений доступа.

Как уточнили в самом операторе, о котором шла речь в новости об ограничениях, в тот момент он находился под DDoS-атакой. При этом передача данных продолжалась по каналам, которые эта атака не затронула.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!