- Výzkumníci objevili škodlivý dokument s názvem „UgyhurApplicationList.docx“, který obsahuje i logo Rady OSN pro lidská práva.
- Útočníci vytvořili falešnou organizaci pro lidská práva s názvem TCAHF, která se zaměřuje na Ujgury žádající o granty.
- Za útoky pravděpodobně stojí čínsky mluvící hackeři.
PRAHA – 27. května 2021 — Check Point Research, výzkumný tým kyberbezpečnostní společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), odhalil ve spolupráci s výzkumníky z týmu Kaspersky Global Research & Analysis Team vlnu kyberútoků zaměřenou na Ujgury v Sin-ťiangu, Číně a Pákistánu. Útočníci rozesílají škodlivé dokumenty maskované za zprávy od OSN a snaží se nalákat oběti pomocí webových stránek falešné nadace. V případě úspěšného útoku je do počítače oběti nainstalován backdoor a hackeři získají přístup prakticky ke všem informacím, zároveň mohou do zařízení stáhnout další malware.
Výzkumníci identifikovali dva způsoby infekce:
- Škodlivé dokumenty, které jsou většinou rozesílané e-mailem a v případě otevření a povolení editace stáhnou do počítače backdoor.
- Webové stránky falešné nadace se snaží přesvědčit návštěvníky, aby si před vyplněním citlivých informací v žádosti o grant stáhli podvodný bezpečnostní skener.
Škodlivý dokument s motivem OSN
Bezpečnostní odborníci odhalili škodlivý dokument s tématikou OSN s názvem „UgyhurApplicationList.docx“. Dokument obsahoval logo Rady OSN pro lidská práva a také falešný obsah z valného shromáždění OSN, kde se diskutovalo o porušování lidských práv. Jakmile uživatel soubor otevře a povolí editaci, do počítače se nainstaluje škodlivý kód.
Falešné webové stránky nadace pro lidská práva
Další analýza dokumentu ukázala spojitost s falešnou webovou stránkou nadace zaměřené na Ujgury žádající o grant. Útočníci vytvořili nadaci pro lidská práva s názvem TCAHF (Turkic Culture and Heritage Foundation). Tvrdí, že organizace financuje a podporuje skupiny pracující pro tureckou kulturu a lidská práva. Většina obsahu je však zkopírována z legitimní webové stránky opensocietyfoundations.org.
Falešná webová stránka (nahoře) a srovnání s původní stránkou (dole)
Škodlivé aktivity stránky jsou dobře maskované a spustí se až ve chvíli, kdy se uživatel pokusí požádat o grant. Webová stránka si vyžádá stažení bezpečnostního skeneru, aby byla ověřena bezpečnost operačního systému, než dojde k zadání citlivých informací. Web nabízí dvě možnosti stažení, jednu pro systém MacOS a druhou pro Windows.
Odkazy ke stažení falešného bezpečnostního skeneru
Oběti
Výzkumníci odhadují, že kampaň je zaměřena na ujgurskou menšinu nebo organizace, které ji podporují. Identifikováno bylo i několik obětí z Pákistánu a Číny, ale v obou případech byly oběti z regionů obývaných převážně ujgurskou menšinou.
Útočníci
Přestože výzkumné týmy nenašly podobnost kódu nebo infrastruktury s nějakou již známou hackerskou skupinou, podle dostupných indicií stojí za útoky čínsky mluvící hackeři. Část kódu škodlivých maker v dokumentech se shoduje s VBA kódem objeveným na několika čínských fórech, odkud mohl být zkopírován.
Podobný kód makra na čínském fóru
Více informací najdete v analýze výzkumného týmu Check Point Research:
https://research.checkpoint.com/2021/uyghurs-a-turkic-ethnic-minority-in-china-targeted-via-fake-foundations/
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.