Тибетские активисты, а также журналисты и правозащитники Гонконга и Тайваня подверглись целевым атакам, использующим вредоносные документы RTF для компрометации компьютеров. По словам исследователей, это новый тактический ход APT-группы, известной с 2009 года.

Согласно Arbor Networks, злоумышленники, полагающиеся на RTF, используют сразу четыре уязвимости в одном вложении (CVE-2012-0158, CVE-2012-1856, CVE-2015-1641 и CVE-2015-1770), чего ранее за ними не водилось. Эксплойт этих брешей позволяет доставлять на целевые машины разных зловредов: Grabber, T9000, Kivars, PlugX, Gh0stRAT, Agent.XST.

Атакующие также заимствуют самые эффективные технологии, ранее использовавшиеся в схожих целевых атаках против прогрессивных представителей СМИ и борцов за права человека. «Нам удалось обновить данные о текущей APT и показать, что вредоносное ПО, технологии и целевой фишинг подверглись модернизации», — заявил аналитик Arbor Курт Уилсон (Curt Wilson) в своем комментарии Threatpost.

За неделю до январских выборов на Тайване на адреса адвоката-правозащитника и одного из тибетских активистов было отослано фишинговое сообщение, написанное от имени некой организации по защите прав человека. Тема письма была проставлена как «US Congress sanctions $6 million fund for Tibetans in Nepal and India» («Американский конгресс одобрил выплату $6 млн в помощь тибетцам Непала и Индии»). К письму был прикреплен RTF-файл, содержащий четыре эксплойта. При открытии этого файла в системный процесс ctfmon.exe жертвы внедрялся RAT-троянец Grabber, он же EvilGrab, который обеспечивал атакующим удаленный контроль и позволял загружать других зловредов.

Аналогичные целевые письма рассылались и другим правозащитникам; их темы варьировались, как и полезная нагрузка. Тем не менее ни один из эксплойтов или зловредов, используемых данной APT-группой, не был новым.

«Умение различать APT-группы — очень важный аспект борьбы с этой угрозой и в идеале, как в данном случае, за пребывание на свободе тех, кто защищает права человека», — подчеркнул Уилсон. По словам собеседника Threatpost, шпионские кампании против журналистов, активистов и правозащитников, по всей видимости, связаны с более масштабными операциями.

В минувший понедельник появился еще один отчет об APT: исследователи из Citizen Lab в Школе международных отношений им. Мунка при университете Торонто опубликовали результаты анализа целевых атак против активистов Гонконга и сторонников демократических реформ в Мьянме.

Категории: Аналитика, Вредоносные программы, Уязвимости, Хакеры