Кампания DeputyDog эксплуатирует 0day уязвимость в IE

Исследователи обнаружили новую кампанию DeputyDog по осуществлению кибератак на организации в Китае, Японии и других странах Азии. Некоторые из атак эксплуатируют 0day уязвимость в Internet Explorer, обнародованную на прошлой неделе.

Malware для осуществления этих атак впервые было обнаружено на сервере в Гонконге под видом jpg-файлов. Исследовав содержимое сервера, находящегося по IP-адресу 180.150.228.102, эксперты пришли к выводу, что хакеры, ответственные за операцию DeputyDog, — это та же самая группа, скомпрометировавшая системы компании безопасности Bit9 в феврале нынешнего года.

По словам исследователей из Bit9, для взлома их систем хакеры использовали два варианта руткита HiKit. Один из образцов руткита соединяется с С&С-сервером downloadmp3server.servemp3.com. На этом же IP-адресе 66.153.86.14 размещен вредоносный домен yahooeast.net, на который зарегистрирован e-mail ящик 654@123.com. На этот же е-маил зарегистрирован домен blankchair.com, где размещен образец 58dc05118ef8b11dcb5f5c596ab772fd и который эксплуатирует уязвимость CVE-2013-3893.

Эксперты из Symantec считают, что за атаками на Bit9 стоит китайская хакерская группа Hidden Lynx, которая ранее была вовлечена в операцию Aurora, направленную против Google и более 30 других технологических компаний в 2009 году.

Тем временем, исследователи из Trend Micro обнаружили новое семейство вредоносного ПО, использующееся преимущественно для осуществления атак на правительственные организации в Азии. EvilGrab используется для хищения аудио- и видеофайлов. ПО, в основном, используется в Китае (36%) и Японии (16%), при этом в 89% случаев атаки совершались на правительственные учреждения. По словам экспертов, EvilGrab был специально разработан для хищения сообщений из популярного китайского приложения Tencent QQ.