Keyboy, un gruppo di hacker cinesi è riemerso con una nuova campagna di tecniche di attacco malware, questa volta indirizzando numerose organizzazioni nelle nazioni occidentali. Il gruppo persistente avanzato opera in Cina dal 2013 e in precedenza aveva preso di mira individui e organizzazioni nei paesi del Sud-Est asiatico, tra cui Taiwan, il Tibet e le Filippine.
La nuova campagna di spionaggio aziendale di Keyboy, attraverso il loro malware specializzato e le e-mail di phishing, li aiuta a spiare, oltre a rubare dagli obiettivi.
Ora, nel corso degli anni, gli hacker cinesi sono stati soprannominati i più trascurati e rumorosi del mondo del crimine informatico. Hanno un riconoscimento in tutto il mondo derivante dal loro spietato comportamento di hacking su qualsiasi cosa loro impongono e facendo apparire i sistemi di sicurezza mediocri. Inoltre, non si preoccupano di coprire le proprie tracce con scarso riguardo alla furtività.
Ma con gli attacchi recenti, sembra che siano stati più attenti e ben organizzati, mettendo su strategie sofisticate per andare dopo la scelta degli obiettivi.
Invece di buttare giù la porta, i gruppi di hacker cinesi hanno iniziato a raccogliere serrature e operare nell’ombra.
Tom Hegel, Senior Threat Researcher di 401TRG, parlando dopo l’hack dell’applicazione CCleaner che si ritiene sia stata eseguita da un APT cinese con nome in codice Axiom, ha affermato che “c’è stata una diminuzione dell’attività delle APT cinesi dopo il patto”.
“Sono diventati più strategici e operano con tattiche migliorate da allora”, ha aggiunto. “Erano una volta molto rumorosi con poca cura per la sicurezza operativa. In questi giorni è più strategicamente controllato. “
L’ultima attività nota del gruppo hacker, Keyboy, è avvenuta tra agosto e ottobre 2016, quando hanno preso di mira il parlamento tibetano. I rapporti suggeriscono che il gruppo di hacker sia andato in modalità fantasma dopo quello. Tuttavia, sembrano essere tornati con gli occhi puntati sulle corporazioni nelle nazioni occidentali.
Secondo i rapporti, Keyboy ha creato malware spia che consente loro di eseguire segretamente attività malevoli su computer infetti. Il malware ha numerose funzionalità, tra cui alcuni che includono screenshot, dotati di funzionalità di keylogging, e possono anche passeggiare e scaricare file di vittime, raccogliere informazioni di sistema estese sulla macchina e chiudere i sistemi infetti.
Rapporti di ricercatori di un’importante società di sicurezza suggeriscono che gli hacker di Keyboy sono in possesso di un nuovo carico utile e, dopo averlo analizzato, hanno scoperto che incorpora nuove tecniche in grado di sostituire i binari di Windows legittimi con una copia del malware. Il malware disabilita la Protezione file di Windows che consente agli hacker di eseguire le loro attività dannose sotto il radar.
Sinonimo di molte campagne di spionaggio, questo inizia con le e-mail e un documento dannoso e nel caso analizzato dai ricercatori di sicurezza, l’esca qui era un documento di Microsoft Word con il nome “Q4 Work Plan.docx”.
L’esca utilizza il protocollo DDE (Dynamic Data Exchange) per individuare e scaricare un payload remoto invece di fornire macro dannose o un exploit.
L’attacco è pianificato per sollecitare le vittime ad aggiornare il documento Word malevolo fornito dall’e-mail di phishing e una volta che le vittime si innamorano di esso e fanno clic sull’opzione di aggiornamento, viene fornito un dropper di malware e il malware viene infine installato nel PC delle destinazioni.
Quando il processo viene eseguito con il malware installato, la DLL iniziale viene eliminata senza alcuna traccia del falso dannoso e una volta che il malware disattiva anche Protezione file Windows e i relativi popup di notifica, gli amministratori di sistema non noteranno immediatamente che una DLL legittima È stato sostituito.
Gli hacker sono quindi liberi di eseguire campagne di spionaggio che desiderano una volta ottenuto l’accesso al sistema di destinazione.
I ricercatori hanno affermato che non è ancora chiaro quale tipo di organizzazioni che il gruppo di hacker sta ora bersagliando con la sua ultima campagna. Non ci sono ancora indicazioni chiare se il gruppo hacker è un’organizzazione sostenuta dallo stato o se fa parte di un altro gruppo di criminalità informatica.