Несколько тибетских организаций стали объектом кибершпионажа со стороны поддерживаемой государством хакерской группы, использовавшей вредоносное расширение Firefox, предназначенное для взлома учетных записей Gmail и заражения жертв вредоносным ПО.
Согласно отчету Proofpoint, опубликованному в четверг, атаки, координируемые APT-группой TA413, связанной с китайцами, начались в январе и продолжались в течение февраля .
Китайские государственные хакеры также заразили жертв с помощью системы разведки вредоносных программ Scanbox , которая позволила им собирать данные о своих целях и регистрировать нажатия клавиш.
«С 2014 года Scanbox использовался в многочисленных кампаниях, направленных на тибетскую диаспору и другие этнические меньшинства, которые часто становятся мишенью групп, поддерживающих интересы китайского государства», - сказал Proofpoint.
«Инструмент способен отслеживать посетителей определенных веб-сайтов, выполнять кейлоггеры и собирать пользовательские данные, которые могут быть использованы в будущих попытках вторжения».
Поток атаки TA413 ( Proofpoint )
Вредоносное расширение для браузера FriarFox
Фишинговые электронные письма, доставленные злоумышленниками TA413 в почтовые ящики своих целей, перенаправляли их на контролируемый злоумышленником домен you-tube [.] Tv, на котором отображается поддельная целевая страница обновления Adobe Flash Player.Скрипты профилирования JavaScript, выполняемые из этого домена, будут автоматически предлагать целям установить вредоносную надстройку с именем FriarFox, если они использовали веб-браузер Firefox и вошли в свою учетную запись Gmail.
Если бы потенциальная жертва использовала любой другой веб-браузер, она была бы перенаправлена на законную страницу входа в YouTube. Если бы они использовали Firefox, но не вошли в учетную запись Gmail, им было бы предложено добавить в браузер поврежденную надстройку FriarFox, которая не установилась бы.
Вредоносное расширение FriarFox основано на надстройке Firefox с открытым исходным кодом Gmail Notifier (без перезапуска) , изменяя его значок и описание метаданных, чтобы имитировать процесс обновления Flash.
Они также добавили вредоносные сценарии JavaScripts, предназначенные для взлома учетных записей Gmail жертв и заражения их систем вредоносным ПО Scanbox.
После того, как жертв обманом заставили установить расширение FriarFox, операторы TA413 берут на себя учетную запись Gmail и браузер Firefox для выполнения следующих вредоносных действий:
Взломанная учетная запись Gmail:
- Искать электронные письма
- Архивировать электронные письма
- Получать уведомления Gmail
- Читать электронные письма
- Измените функции звуковых и визуальных предупреждений браузера Firefox для расширения FriarFox.
- Пометить электронные письма
- Помечает электронные письма как спам
- Удалить сообщения
- Обновить почтовый ящик
- Пересылка писем
- Выполните поиск функций
- Удалять сообщения из корзины Gmail
- Отправлять почту со взломанного аккаунта
- Доступ к пользовательским данным для всех веб-сайтов.
- Отображать уведомления
- Читать и изменять настройки конфиденциальности
- Доступ к вкладкам браузера.
«Эти сообщества имеют традиционно низкий барьер для компрометации со стороны групп злоумышленников, и TA413, похоже, изменяет их инструменты и методы, продолжая полагаться на проверенные методы социальной инженерии».
Дополнительные технические подробности и индикаторы компрометации (IOC), включая хэши инфраструктуры и образцы вредоносного ПО, используемые в этой кампании, доступны в конце отчета Proofpoint .
Перевод - Google
Bleeping Computer
Последнее редактирование модератором: