Злоумышленники используют логотип ООН в ходе кибератак против уйгуров, этнического меньшинства в Китае

07.06.2021 |

Команда исследователей Check Point Research (CPR), подразделения Check Point Software Technologies Ltd., ведущего поставщика решений в области кибербезопасности по всему миру, и Глобальный центр исследования и анализа угроз Kaspersky (GReAT) обнаружили кибератаки против уйгуров, турецкой этнической группы, проживающей в провинции Синьцзянь (Китай) и Пакистане. Злоумышленники рассылают вредоносные документы якобы от имени Организации Объединенных Наций (ООН) и правозащитного фонда под названием «Фонд тюркской культуры и наследия». В целях шпионажа хакеры обманным путем убеждают своих жертв установить бэкдор для программного обеспечения Windows на компьютеры.

Исследователи обнаружили вредоносный документ под названием "UgyhurApplicationList.docx" с логотипом Совета по правам человека ООН.
Злоумышленники представляются правозащитной организацией под названием «Turkic Culture and Heritage Foundation» («Фонд тюркской культуры и наследия») и нацелены на уйгуров, которые претендуют на гранты.
Исследователи связывают атаки с китайскоязычным источником.

В сотрудничестве с исследователями из группы GReAT Лаборатории Касперского команда Check Point Research (CPR) обнаружила кибератаки на уйгуров в Синьцзяне (Китай) и Пакистане. Злоумышленники рассылают своим жертвам вредоносные документы якобы от имени Организации Объединенных Наций (ООН) и правозащитных фондов, убеждая их установить бэкдор для программного обеспечения Microsoft Windows на компьютеры. После того, как на устройство установлен бэкдор, злоумышленники могут приступить к сбору практически любой информации, а также получают возможность запускать дополнительные вредоносные программы на компьютере жертвы.

Два вектора атаки

Исследователи определили два вектора заражения, которые используют злоумышленники:

Через отправленные по электронной почте вредоносные документы, которые пытаются загрузить бэкдор для Windows.
Через поддельный сайт фонда: перед заполнением формы с конфиденциальной информацией, необходимой для заявки на грант, посетителей убеждают загрузить бэкдор «.NET» под предлогом загрузки «сканера безопасности».

Вредоносный документ, похожий на документ ООН

В ходе расследования вредоносный документ якобы от ООН под названием "UgyhurApplicationList.docx" заинтересовал исследователей Check Point Research и Kaspersky GReAT. Файл содержал логотип Совета по правам человека Организации Объединенных Наций и информацию с генеральной ассамблеи ООН, на которой обсуждались нарушения прав человека.

Фейковый веб-сайт

Дальнейший анализ документа привел исследователей к обнаружению фальшивого веб-сайта Фонда тюркской культуры и наследия, нацеленного на уйгуров, желающих подать заявку на грант. Злоумышленники утверждали, что организация финансирует и поддерживает группы, посвященные защите турецкой культуры и прав человека. Большая часть содержимого веб-сайта была скопирована с законного веб-сайта с URL-адресом opensocietyfoundations.org.

Вредоносные функции сайта злоумышленников хорошо замаскированы и появляются только тогда, когда потенциальная жертва пытается подать заявку на грант. Прежде чем дать возможность ввести конфиденциальную информацию, веб-сайт утверждает, что он должен убедиться в безопасности операционной системы пользователя. Для этого жертву просят загрузить программу для сканирования своего компьютера. Веб-сайт предлагает два варианта загрузки: один для MacOS, а другой — для Windows.

Жертвы

По оценкам исследователей, эта кампания нацелена на уйгурское меньшинство и поддерживающие его организации. Телеметрия Check Point Research и Лаборатории Касперского это подтвердила. Жертвы находились в регионах, населенных преимущественно уйгурским меньшинством, а в Пакистане и Китае исследователи обнаружили лишь несколько из них.

Источник угрозы

Хотя исследователям не удалось найти сходство кода или инфраструктуры с известной группой угроз, они приписывают эту активность с низкой или средней вероятностью китайскоязычным злоумышленникам. Изучая вредоносные макросы в документе о доставке, исследователи заметили, что некоторые фрагменты кода идентичны коду VBA, который появлялся на нескольких китайских форумах, и мог быть скопирован оттуда.

«Данные атаки предназначены для снятия цифровых отпечатков с зараженных устройств, включая все запущенные на них программы, — комментирует Лотем Финкельстин, руководитель отдела аналитики угроз компании Check Point Software Technologies. — Насколько мы можем судить, эти атаки продолжатся, и сейчас злоумышленники создают новую инфраструктура для будущих атак».