Kihasznált rendőrség
A Cado Security Labs felfedezett egy rosszindulatú kampányt, amely a Thai Királyi Rendőrséget célozta meg. A támadás során a támadók látszólag hivatalos FBI-dokumentumokat használtak fel, hogy egy parancsikont (LNK fájlt) juttassanak el az áldozatokhoz, amely végül a Yokai nevű hátsó ajtó (backdoor) telepítéséhez vezetett a célzott rendszereken. A kampány jellemzői alapján a tevékenység összhangban van a Mustang Panda néven ismert kínai APT (Advanced Persistent Threat) csoport módszereivel.
A támadók egy XXXXX_ FBI.rar nevű RAR tömörített fájlt használtak, amely a fájlban már süregtő kifejezéseket használ, mint: Nagyon sürgős, kérjük, csatlakozzon az FBI képzési együttműködési projektjéhez. Bár a fertőzés pontos módja nem ismert, valószínűsíthető, hogy adathalász e-mailen keresztül terjesztették.
A tömörített fájl egy “YYYY_FBI.docx.lnk nevű LNK fájlt, egy CCCCC.pdf nevű ál-PDF fájlt és egy $Recycle.bin mappát tartalmazott. A parancsikon futtatja az ftp.exe programot, amely a CCCCC.pdf fájlt FTP szkriptként dolgozza fel. Az FTP szkriptek automatizált parancsokat tartalmaznak, amelyek végrehajtják a fájl letöltését és telepítését. A CCCCC.pdf fájl valójában Windows parancsokat tartalmaz, amelyeket a cmd.exe futtat. Még ha a felhasználó nem is nyitja meg a fájlt, a parancsok akkor is lefutnak, de ha megnyitják, egy látszólag ártalmatlan űrlapot látnak.
A parancsok futtatása után a Yokai backdoor települ a rendszerre, amely lehetővé teszi a támadók számára a távoli hozzáférést és a rendszer irányítását.
A kínai APT-csoportok folyamatosan célba veszik Thaiföldet, ami jól mutatja a délkelet-ázsiai kiberkémkedési környezet dinamikáját. A geopolitikai feszültségek és gazdasági verseny fokozódásával Thaiföld stratégiai célponttá vált a kiberhadviselésben, mivel az ország kulcsszerepet játszik a régió politikai és gazdasági stabilitásában.
