В «Касперском» рассказали об атаке китайских хакеров на российские учреждения
В рамках кампании, получившей название EastWind, было развернуто несколько современных вредоносных программ, включая троян удаленного доступа (RAT) GrewApacha, неизвестный бэкдор PlugY и обновленную версию вредоносной программы CloudSorcerer.
Центральное место в атаке занимают РАТ GrewApacha, используемый группой APT31 по крайней мере с 2021 года, и PlugY, который имеет сходство с инструментами, используемыми предполагаемой китайской группой APT27. Изначально злоумышленники использовали фишинговые письма с вредоносными архивами для доставки вирусов.
После заражения они использовали DLL, найденную в системах Windows, для сбора информации о взломанных устройствах и установки дополнительных вредоносных инструментов.
Анализ, проведенный «Касперским», показывает, что, хотя прямая причастность к APT31 или APT27 не подтверждена, между вредоносными инструментами и предыдущей деятельностью этих китайских хакерских групп есть заметные связи.