Атака начиналась с сообщений для целевого фишинга, которые приходили якобы от адресатов из госаппарата. При попытке жертвы открыть документы, имеющие официальный вид, загружались шаблоны .RTF, инфицированные с помощью инструментария Royal Road.
Интересно Вдохновленные природой: как создавался дизайн наушников Huawei FreeBuds 4i
Как осуществляли атаку
Популярный среди китайских киберпреступных группировок, Royal Road эксплуатирует уязвимости редактора уравнений Microsoft Word:
- CVE-2017-11882,
- CVE-2018-0798,
- CVE-2018-0802.
Встроенный в RTF-файл скрипт создает отложенную задачу Windows Update и выполняет другие действия. Кроме того, он отсылает предварительную информацию о жертве на командный сервер. Если ее сочтут интересной, начинается второй этап атаки, на котором загружается бэкдор оригинальной разработки под внутренним именем VictoryDll_x86.dll.
Это ПО способно выполнять множество функций, ориентированных на шпионаж:
- чтение/запись/удаление файлов,
- запуск команд через cmd.exe,
- захват экрана,
- создание/завершение процессов,
- получение имен окон верхнего уровня, ключей реестра, содержимого таблиц UDP/TCP, подробной информации о пользователе и компьютере,
- и даже отключение ПК.
Добытые сведения переправляются на командный сервер американского провайдера, начальные же этапы кибератаки координируют серверы, которые находятся в Гонконге и в Малайзии.
Злоумышленников интересуют не только холодные данные, но и то, что происходит на персональном компьютере цели в любой момент. Хотя мы смогли заблокировать описанную операцию слежения за властями страны в Юго-Восточной Азии, вполне возможно, что преступная группа использует свое новое оружие кибершпионажа против других целей по всему миру,
– комментирует глава Службы аналитики угроз в CPR, Лотем Финкельстин.