A kínai APT17 olasz vállalatokat céloz meg a 9002 RAT malware-rel

A kínai APT17 nevű fenyegető szereplő a jelentések szerint olasz vállalatokat és kormányzati szerveket vett célba, a 9002 RAT néven ismert, széles körben is alkalmazott rosszindulatú szoftver egy változatát használva. Ezeket a kibertámadásokat 2024. június 24-én és július 2-án indították, egy Office-dokumentumot, illetve egy linket használva, miközben egy hamis “Skype for Business” csomag telepítésére invitálva az áldozatokat. Ezt a technikát az olasz TG Soft kiberbiztonsági cég azonosította nemrég közzétett elemzésében. Az APT17, amelyet először a Google tulajdonában lévő Mandiant dokumentált 2013-ban, korábban hasonló kiberkémkedési műveleteket hajtott végre, többek között a Microsoft Internet Explorer sebezhetőségeit használta fel a célpontokba való behatoláshoz.

A 9002 RAT, más néven Hydraq és McRAT választása tovább erősíti az APT csoport különböző korábbi incidensekből, például a 2009-es, a Google és más nagyvállalatok elleni Aurora-műveletből származó hírnevét. Ezekben a legutóbbi támadásokban az áldozatokat spear-phishing technikákkal csábítják egy rosszindulatú Skype for Business MSI telepítő letöltésére, amely aztán elindítja a 9002 RAT-ot tartalmazó Java archívum (JAR) fájlt. Ez a moduláris trójai többek között lehetővé teszi a hálózati forgalom megfigyelését, képernyőképek készítését és további parancsok futtatását a hálózat felderítésére. A TG Soft megjegyzi, hogy a kártevő folyamatosan frissül, és változatos modulokat használ a lebukás kockázatának csökkentése érdekében.

(forrás)

(forrás)