Эксперты Kaspersky GReAT обнаружили кампанию кибершпионажа за правительственной организацией на Ближнем Востоке, которую китайскоговорящая кибергруппа Tropic Trooper вела как минимум с июня 2023 года. Ещё одна цель преступников находилась в Малайзии. Для получения несанкционированного доступа и закрепления в корпоративной сети нападающие использовали веб-оболочку China Chopper. Это одна из наиболее общеизвестных программ для удалённого управления веб-сервером.
В начале июня 2024 года телеметрические системы «Лаборатории Касперского» зафиксировали ранее неизвестного автора вариант веб-оболочки Chopper. Эксперты Kaspersky GReAT выяснили, что она была встроена в качестве модуля в Umbraco CMS - популярную систему управления контентом. Злоумышленники использовали её для реализации широкого спектра вредоносных возможностей, включая кражу данных, полный удалённый контроль, развёртывание вредоносного ПО и обход обнаружения.
Профессионалы обнаружили несколько утилит постэксплуатации и импланты, которые загружались за счет метода dll sideloading. При их помощи преступники пытались развернуть загрузчик Crowdoor. Атакующие использовали несколько версий загрузчика для обхода детектирования, однако все модули были обнаружены и задетектированы.
В числе целей кибергруппы Tropic Trooper, общеизвестной с 2011 года в том числе под названьями KeyBoy и Pirate Panda, - госучреждения, организации здравоохранения, транспортные предприятия и высокотехнологичные компании в таких регионах, как Тайвань, Филиппины и Гонконг.
Фото: Freepik.com