Post #4460

Дракошки Китайские хакеры атаковали собственную телеком-компанию China Mobile Tietong, используя продвинутые техники маскировки и уклонения от песочниц. Операция, под названием DRAGONCLONE, началась с ZIP-файла, замаскированного под программу корпоративного обучения. Хакеры подменили файлы легитимного софта Wondershare Repairit, чтобы загрузить вредонос VELETRIX. Загрузчик использует ряд инструментов, чтобы обмануть Windows. Вредоносный процесс маскируется под IP-адреса и запускается через системные функции. В итоге в память загружается изменённый VShell — кроссплатформенный OST фреймворк на Go. Исследователи обнаружили 44 образца с одинаковой солью шифрования «qwe123qwe». Инфраструктура пересекается с группировками UNC5174 и Earth Lamia, которые ранее использовали Cobalt Strike и SuperShell. Китайцы атакуют китайцев через китайские инструменты. Логично 🐉🍚🇨🇳 НеКасперский