Они используют логотип этой организации в ходе кибератак против уйгуров, этнического меньшинства в Китае
Команда исследователей Check Point Research (CPR), подразделения Check Point® Software Technologies Ltd., и Глобальный центр исследования и анализа угроз Kaspersky (GReAT) обнаружили кибератаки против уйгуров, турецкой этнической группы, проживающей в провинции Синьцзянь (Китай) и Пакистане.
Злоумышленники рассылают вредоносные документы якобы от имени Организации Объединенных Наций (ООН) и правозащитного фонда под названием «Фонд тюркской культуры и наследия». Для шпионажа хакеры обманным путем убеждают своих жертв установить на компьютеры бэкдор для программного обеспечения Windows.
- Исследователи обнаружили вредоносный документ под названием «UgyhurApplicationList.docx» с логотипом Совета по правам человека ООН.
- Злоумышленники представляются правозащитной организацией под названием «Turkic Culture and Heritage Foundation» («Фонд тюркской культуры и наследия») и нацелены на уйгуров, которые претендуют на гранты.
- Исследователи связывают атаки с китайскоязычным источником.
В сотрудничестве с исследователями из группы GReAT Лаборатории Касперского команда Check Point Research (CPR) обнаружила кибератаки на уйгуров в Синьцзяне (Китай) и Пакистане. Злоумышленники рассылают своим жертвам вредоносные документы якобы от имени Организации Объединенных Наций (ООН) и правозащитных фондов, убеждая их установить на компьютеры бэкдор для программного обеспечения Microsoft Windows. После того, как на устройство установлен бэкдор, злоумышленники могут приступить к сбору практически любой информации, а также получают возможность запускать дополнительные вредоносные программы на компьютере жертвы.
Два вектора атаки
Исследователи определили два вектора заражения, которые используют злоумышленники:
- Через отправленные по электронной почте вредоносные документы, которые пытаются загрузить бэкдор для Windows.
- Через поддельный сайт фонда: перед заполнением формы с конфиденциальной информацией, необходимой для заявки на грант, посетителей убеждают загрузить бэкдор «.NET» под предлогом загрузки «сканера безопасности».
Вредоносный документ, похожий на документ ООН
В ходе расследования вредоносный документ якобы от ООН под названием «UgyhurApplicationList.docx» заинтересовал исследователей Check Point Research и Kaspersky GReAT. Файл содержал логотип Совета по правам человека Организации Объединенных Наций и информацию с генеральной ассамблеи ООН, на которой обсуждались нарушения прав человека.
Дальнейший анализ документа привел исследователей к обнаружению фальшивого веб-сайта Фонда тюркской культуры и наследия, нацеленного на уйгуров, желающих подать заявку на грант. Злоумышленники утверждали, что организация финансирует и поддерживает группы, посвященные защите турецкой культуры и прав человека. Большая часть содержимого веб-сайта была скопирована с законного веб-сайта с URL-адресом opensocietyfoundations.org.
Вредоносные функции сайта злоумышленников хорошо замаскированы и появляются только тогда, когда потенциальная жертва пытается подать заявку на грант. Прежде чем дать возможность ввести конфиденциальную информацию, веб-сайт утверждает, что он должен убедиться в безопасности операционной системы пользователя. Для этого жертву просят загрузить программу для сканирования своего компьютера. Веб-сайт предлагает два варианта загрузки: один для MacOS, а другой — для Windows.
Жертвы
По оценкам исследователей, эта кампания нацелена на уйгурское меньшинство и поддерживающие его организации. Телеметрия Check Point Research и Лаборатории Касперского это подтвердила. Жертвы находились в регионах, населенных преимущественно уйгурским меньшинством, а в Пакистане и Китае исследователи обнаружили лишь несколько из них.
Источник угрозы
Хотя исследователям не удалось найти сходство кода или инфраструктуры с известной группой угроз, они приписывают эту активность с низкой или средней вероятностью китайскоязычным злоумышленникам. Изучая вредоносные макросы в документе о доставке, исследователи заметили, что некоторые фрагменты кода идентичны коду VBA, который появлялся на нескольких китайских форумах, и мог быть скопирован оттуда.
«Данные атаки предназначены для снятия цифровых отпечатков с зараженных устройств, включая все запущенные на них программы, — комментирует Лотем Финкельстин, руководитель отдела аналитики угроз компании Check Point Software Technologies. — Насколько мы можем судить, эти атаки продолжатся, и сейчас злоумышленники создают новую инфраструктура для будущих атак».