В начале 2023 года компания Check Point Research провела расследование инцидента с вредоносным ПО в одном из европейских медицинских учреждений. Вредоносное ПО, приписываемое китайской группировке Camaro Dragon, занимающейся шпионажем, распространялось через зараженные USB-накопители. Вредоносная программа, известная как WispRider, обладала способностью самораспространяться через USB-накопители и заражать сети по всему миру, даже если они не являлись основными целями. Расследование показало, что китайские APT, включая Camaro Dragon, продолжают использовать USB-устройства в качестве вектора заражения.
Заражение вредоносным ПО в европейском медицинском учреждении было отслежено сотрудником, который участвовал в конференции в Азии и неосознанно привез с собой зараженный USB-накопитель. Когда сотрудник подключил USB-накопитель к компьютерным системам больницы, вредоносная программа распространилась и заразила сеть. Этот инцидент пролил свет на набор инструментов, ранее описанных в отчете Avast и связанных с Twill Typhoon (TANTALUM), другим китайским агентом угроз. Вредоносная программа использовала программу запуска Delphi на зараженных USB-накопителях, чтобы открыть основной бэкдор и заразить новые встреченные накопители.
Дальнейший анализ вредоносной программы выявил новые версии набора инструментов, включая USB-пусковую установку, известную как HopperTick, и компонент бэкдора-инфектора под названием WispRider. Эти версии объединили все функциональные возможности в единую полезную нагрузку и использовали для загрузки DLL-библиотеки легитимные исполняемые файлы от компаний-производителей защитного ПО и игровых компаний. Вредоносная программа претерпела значительный рефакторинг и изменения в коде, включив в себя возможности языка C++. Обновленные версии вредоносного ПО распространялись из Юго-Восточной Азии в такие страны, как Россия.
Indicators of Compromise
SHA256
- 0279a0a3effc688097eb14d4bd6f1ab8be86f880d01952af7e2b55c51cf107b1
- 3738e414f43d3b213cf7475a8bb616a3379c09e90c0ba5c6ac0e398d2967ca95
- 464888b81e4d67aad73b245efa6442fecf8221abe3ec74d4cd180e4beedaddc6
- 491d9f6f4e754a430a29ac6842ee12c43615e33b0e720c61e3f06636559813f7
- 5c878a05fb54c6d06ca4f66d28906d17a423b1305b6aa9bde19df8e8b3e91c5c
- 68eb5590d8ad952215cf54741b0ed6204c19bba4dcb8d704883e007f16de5028
- 6c4226aa2f8bb646f753ffd282cf4624f6bc8e5ca8a2cb2373f640a2a29cdd95
- 7752fc0c747149d45deeec1023fef8ca73f83a154643531ae9db9cb89b6ce1dc
- 7d8b568746a643aa0470b14f271f681dd3b09dbc08c893b191d1d6607b86c501
- aeacc2d47a88eb68d503f9e30b189641572eb35423df931845f90a4c447ed1be
- ce1615ec67296edd05d9dc9a6a075a4724553fca5398c425372b85170aec2106
- fc598a686a5a77436684cbd0f72f39033cb70a41d4dbcf5dbab47a7c2522fdda