Китайские хакеры причастны к целевым атакам на различные организации во всем мире

MNKit является одним из немногих генераторов эксплоитов под Microsoft Office, использующимся хакерскими группировками. MNKit используется для генерации документов Office, эксплуатирующих уязвимость CVE-2012-0158.

По данным Palo Alto Networks, некоторые хакерские группировки использовали MNKit для создания инфицированных документов и доставки на зараженные системы вредоносных приложений Lurk0, NetTraveler и Saker. Злоумышленники рассылали документы, содержащие эксплоит, университетам, некоммерческим организациям, политикам и группам, отстаивающим права людей в Южной Африке.

Lurk0 представляет собой RAT-инструмент, наследник Gh0stRAT, используемый уже несколько лет. Еще в 2012 году организация Citizen Lab опубликовала отчет, содержащий описание атак с использованием этого вредоноса против тибетских организаций.

NetTraveler - второй образец вредоносного ПО, распространяемый генерируемыми MNKit документами. Этот бэкдор используется злоумышленниками для хищения данных и установки дополнительного ПО на зараженные системы. NetTraveler использовался хакерскими группировками, связанными с правительством Китая, для хищения конфиденциальных данных в различных странах.

Эксперты Palo Alto Networks также сообщают, что посредством вредоносных документов распространяются такие приложения как Saker, Xbox и Mongall. Согласно данным FireEye, Saker использовался хакерскими группировками Moafee и DragonOK, использующими ранее в своих кампаниях также Gh0stRAT и NetTraveler.

Эксперты приходят к выводам, что обнаруженные атаки тесно связаны с ранее наблюдаемой хакерской активностью по таким признакам, как используемая полезная нагрузка, одинаковые инструменты для создания эксплоитов, email адреса и темы сообщений, названия вложенных файлов, C&C домены и IP адреса.