Xitoylik kiberjosuslar «antiqa» troyanlardan foydalanadilar
Bronza Ittifoqi guruhi eski cholg’ularning o’z versiyalarini yaratdi.
Xitoy foydasiga ishlayotgan deb taxmin qilingan kiberjosuslik guruhi o’z hujumlarida keng tarqalgan vositalarning o’zgartirilgan versiyalaridan foydalanadi. Ushbu vositalarning ba’zilarining manba kodi 2007-yilga borib taqaladi. Bronza Union, Emissary Panda, Threat Group 3390, Lucky Mouse, ZipToken va Iron Tiger nomi bilan ham tanilgan APT27 kamida 2013-yildan beri siyosiy, texnologik, gumanitar va sanoat tashkilotlarini nishonga olib, faol bo’lib kelmoqda.
SecureWorks Counter Threat Unit tadqiqotchilarining fikriga ko’ra, 2017-2018 yillarda Bronze Union turli xil vositalarning boy arsenaliga ega edi. Ba’zi troyan dasturlari o’n yildan ortiq vaqtdan beri mavjud bo’lsa-da, kiberjosuslar ularni modernizatsiya qilishga va o’z ehtiyojlariga moslashtirishga muvaffaq bo’lishdi.
Shunday vositalardan biri ZxShell masofaviy kirish troyanidir (RAT), uning manba kodi 2007-yilda LZX taxallusidan foydalangan shaxs tomonidan nashr etilgan. Troyanning turli xil variantlari ko’plab kiberjinoyatchi guruhlar tomonidan ishlatilgan bo’lsa-da, Bronze Union tomonidan 2018-yilda ishlatilgan versiyada ilgari noma’lum bo’lgan xususiyatlar mavjud edi. Xususan, u HTran deb nomlangan paketlarni qayta yo’naltirish vositasini qo’shdi.
Bronze Union arsenalidagi yana bir «antiqa» vosita Gh0st RAT bo’lib, uning manba kodi 2008-yilda nashr etilgan. O’shandan beri troyanning yangi modifikatsiyalari bir necha bor paydo bo’ldi, ammo 2018-yilda Bronze Union o’zining Gh0st RAT versiyasidan foydalandi.
Xususan, guruh troyan sarlavhalarini o’zgartirdi. Zararli dasturning C&C serveriga ulanishini yashirish uchun tajovuzkorlar Gh0st RAT identifikatoriga tasodifiylikni qo’shdilar. Bu chalkashlik ularga tarmoq trafikining haqiqiy manbasini yashirish imkonini berdi.
