Китайские хакеры атаковали Катар на фоне Operation Epic Fury: данные Check Point
NewsMakerКак фишинг подстроился под новую эскалацию на Ближнем Востоке.
Check Point Research зафиксировала рост активности китайских APT-групп на Ближнем Востоке и связала одну из новых волн атак с Катаром. По данным исследователей, злоумышленники начали операции уже 1 марта, через день после начала новой эскалации в регионе и запуска Operation Epic Fury . Аналитики считают, что атакующие быстро подстроили приманки под военные события, чтобы вредоносные письма и архивы выглядели убедительнее на фоне потока новостей.
В одной из цепочек заражения использовался архив, замаскированный под фотографии последствий удара по американской базе в Бахрейне. Внутри находился LNK-файл, который запускал длинную многоэтапную схему загрузки. После обращения к скомпрометированному серверу система получала следующий вредоносный компонент, а финальная стадия задействовала перехват DLL в легитимном клиенте Baidu NetDisk для установки бэкдора PlugX.
PlugX давно связывают с китайскими хакерскими группами. Вредоносный инструмент существует как минимум с 2008 года и поддерживает кражу файлов, захват экрана, запись нажатий клавиш и удаленное выполнение команд. Образец, обнаруженный в катарской кампании, содержал ключ шифрования qwedfgx202211 и ключ расшифровки в формате даты 20260301@@@. Check Point Research отмечает, что похожая комбинация уже встречалась в операциях Camaro Dragon, группы из китайского кластера, который также пересекается с Earth Preta и Mustang Panda.
Исследователи добавили, что похожий способ доставки применялся еще в конце декабря во время атак на военные цели в Турции. Такое совпадение, по оценке Check Point, указывает на более широкий интерес к Ближнему Востоку, а нынешний фокус на Катаре мог появиться на фоне новой региональной напряженности.
Check Point Research зафиксировала рост активности китайских APT-групп на Ближнем Востоке и связала одну из новых волн атак с Катаром. По данным исследователей, злоумышленники начали операции уже 1 марта, через день после начала новой эскалации в регионе и запуска Operation Epic Fury . Аналитики считают, что атакующие быстро подстроили приманки под военные события, чтобы вредоносные письма и архивы выглядели убедительнее на фоне потока новостей.
В одной из цепочек заражения использовался архив, замаскированный под фотографии последствий удара по американской базе в Бахрейне. Внутри находился LNK-файл, который запускал длинную многоэтапную схему загрузки. После обращения к скомпрометированному серверу система получала следующий вредоносный компонент, а финальная стадия задействовала перехват DLL в легитимном клиенте Baidu NetDisk для установки бэкдора PlugX.
PlugX давно связывают с китайскими хакерскими группами. Вредоносный инструмент существует как минимум с 2008 года и поддерживает кражу файлов, захват экрана, запись нажатий клавиш и удаленное выполнение команд. Образец, обнаруженный в катарской кампании, содержал ключ шифрования qwedfgx202211 и ключ расшифровки в формате даты 20260301@@@. Check Point Research отмечает, что похожая комбинация уже встречалась в операциях Camaro Dragon, группы из китайского кластера, который также пересекается с Earth Preta и Mustang Panda.
Исследователи добавили, что похожий способ доставки применялся еще в конце декабря во время атак на военные цели в Турции. Такое совпадение, по оценке Check Point, указывает на более широкий интерес к Ближнему Востоку, а нынешний фокус на Катаре мог появиться на фоне новой региональной напряженности.