Хакерите от IronHusky разпространяват своя троянец чрез доста хитър метод – зловреден MMC скрипт, маскиран като Word документ. След като жертвата отвори този “документ”, той изтегля допълнителни зловредни програми и се настанява трайно в компрометираната система.
“Действията на тези файлове оставят следи от зловредния софтуер MysterySnail RAT, имплант, който описахме още през 2021 г. В наблюдаваните случаи на заразяване, MysterySnail RAT е конфигуриран да остава в компрометираните машини като услуга,” обясняват от Kaspersky.
Интересното е, че скоро след като Kaspersky блокира първоначалните пробиви, хакерите не се отказали, а просто преминали към по-лека версия на същия софтуер, която експертите нарекли MysteryMonoSnail.
Интересното е, че това не е първият път, когато IronHusky проявява интерес към руските правителствени системи. Касперски първоначално засече групата още през 2017 г., докато разследваха кампания, насочена към руски и монголски правителствени организации. Целта тогава? Събиране на разузнавателна информация за руско-монголските военни преговори.
През 2021 г. същата група беше забелязана да използва уязвимост нулев ден в Windows Win32k kernel драйвер (CVE-2021-40449), за да разпространява MysterySnail RAT в мащабни шпионски атаки срещу IT компании, военни/отбранителни изпълнители и дипломатически структури в Русия и Монголия.
А една година по-рано, през 2018 г., те експлоатираха уязвимост в Microsoft Office (CVE-2017-11882), за да разпространяват други RAT програми, типично използвани от китайски хакерски групи, включително PoisonIvy и PlugX.
Руско-китайското “братство” изглежда функционира по същия принцип като всички други международни отношения – всеки гледа собствения си интерес. Просто китайските хакери са решили, че информацията от руските правителствени системи е достатъчно ценна, за да рискуват малко дипломатическо напрежение.
Докладът на Kaspersky, публикуван миналия четвъртък, включва пълни технически подробности за последните атаки на IronHusky с използване на MysterySnail RAT. Няма никакво съмнение, че китайците са шпионирали руснаците.
Въпреки това, руските и китайските лидери вероятно ще продължат да се прегръщат пред камерите, докато техните кибер войски водят битка зад кулисите. В края на краищата, какво е малко шпионаж между “приятели”, нали?
