Китай: Наши компьютеры взламывают из США для атак на Россию и Украину

Китай: Наши компьютеры взламывают из США для атак на Россию и Украину

Китай: Наши компьютеры взламывают из США для атак на Россию и Украину

Власти Китая предупредили о масштабных кибератаках, поразивших ряд компьютеров на территории страны. Согласно заявлению специалистов по кибербезопасности из КНР, эти атаки велись с территории США и пытались поразить важные объекты в России, Украине и Белоруссии.

Таким образом, как считают в Китайском национальном центре по кибербезопасности, размещённые в стране компьютеры использовались для маскировки настоящего источника кибероперации — США.

Согласно опубликованной Reuters информации, данная кампания стартовала в конце февраля. Взламывая китайские компьютеры, злоумышленники впоследствии использовали их для атак на российские, украинские и белорусские учреждения.

«После анализа недавних кибератак стало понятно, что их источником были Соединённые Штаты», — отметили представители Национального центра по кибербезопасности Китая.

Вообще, США и Китай часто обмениваются взаимными претензиями и обвинениями во вредоносной киберактивности. Так, Запад вменял КНР операции шпионажа в цифровом пространстве.

На днях некие хакеры провели дефейс сайтов российских государственных учреждений. Тем не менее пока нельзя сказать, связаны ли между собой эти атаки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Троян Shuyal Stealer ворует данные из 19 браузеров и исчезает без следа

В ИБ-компании Point Wild проанализировали образец Windows-стилера Shuyal, объявившегося в июле, и обнаружили внушительный список целевых браузеров — 19 наименований, в том числе Яндекс Браузер и Tor.

Свое имя написанный на C++ зловред (детектится на VirusTotal с результатом 48/72 по состоянию на 8 октября) получил по найденному в экзешнике идентификатору. От собратьев новобранец отличается не только большим количеством целей, но также умением заметать следы.

После запуска Shuyal Stealer прежде всего выполняет глубокое профилирование зараженной системы с помощью WMI: собирает данные жестких дисков (модель, серийный номер), подключенной клавиатуры (включая ID), информацию о настройках монитора, чтобы выстроить стратегию кражи данных сообразно конкретным условиям.

Троян также прибивает Диспетчер задач, способный выдать запуск вредоносных процессов, и прописывается в системе на автозапуск.

Кража данных осуществляется с помощью скриптов PowerShell. При этом зловреда интересует следующая информация:

  • сохраненные в браузере учетки, куки и история посещения сайтов;
  • содержимое буфера обмена;
  • токены аутентификации из Discord, Discord Canary и Discord PTB.

Инфостилер также умеет делать скриншоты, чтобы добавить контекст к украденным данным.

Вся добыча вместе с журналом вредоносной активности (history.txt) помещается в директорию runtime, специально создаваемую в папке временных файлов. Для эксфильтрации ее содержимое архивируется (runtime.zip) и затем отсылается в телеграм-бот, который Shuyal находит по вшитому ID.

Завершив кражу и вывод данных, Shuyal пытается стереть все следы своего присутствия в системе с помощью скрипта util.bat.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru