E-mail ze złośliwym załącznikiem od chińskich hakerów

Nową serię ataków wykryto na początku tego roku. Atak Rancoru na instytucje rządowe w krajach Azji Południowo-Wschodniej trwał siedem miesięcy. Wcześniej hakerzy z tej grupy atakowali już cele w Singapurze i Kambodży, które według specjalistów należy zaliczyć do działań wywiadowczych.

Zdaniem Check Pointu ataki chińskich hakerów zaczynają się od wysyłania e-maili rzekomo nadawanych przez pracowników różnych departamentów instytucji państwowych, ambasad oraz innych podmiotów powiązanych z państwami regionu. Kampania Rancoru ma charakter silnie ukierunkowany, gdyż - jak wskazuje firma - nadano dziesiątki e-maili adresowanych do pracowników jednego resortu, z użyciem najprawdopodobniej sfałszowanego adresu serwera poczty wychodzącej, co miało dodatkowo uwiarygadniać korespondencję.

W okresie siedmiu miesięcy trwania kampanii hakerzy wykorzystywali różne metody, które opierały się jednak na tym samym schemacie wysyłki e-maila ze złośliwym załącznikiem w formacie RTF, DOC lub XLS ze złośliwymi makrami. Dokumenty te były używane jako nośniki dla wirusów, które miały infekować systemy komputerowe ofiar wykorzystując znane luki w zabezpieczeniach. Większość dokumentów, które hakerzy wykorzystywali jako przynętę, zawierała treści powiązane z działalnością instytucji państwowych, takie jak np. instrukcje dla pracowników, oficjalne pisma, komunikaty prasowe itd.

Kampania została zawieszona w lutym 2019 roku - zwracają uwagę eksperci. Wówczas wypada chiński Nowy Rok, co dla ekspertów z Check Point stanowi dodatkowy argument za przypisaniem działalności grupy Rancor do Chin. Ich zdaniem działania hakerów z tego ugrupowania będą nadal ewoluować, a procedury - zmieniać się, gdyż cyberprzestępcy nieustannie starają się poszukiwać nowych metod obchodzenia zabezpieczeń systemów, a także unikać powiązania ich działalności z obserwowanymi atakami.