Необычная функция позволяет программе долго оставаться незамеченной на скомпрометированном устройстве.
Хакерская группа Sharp Panda, занимающаяся кибершпионажем, нацелена на высокопоставленные правительственные учреждения во Вьетнаме, Таиланде и Индонезии с помощью новой версии вредоносного ПО под названием Soul.
Специалисты новую кампанию с использованием этого ПО. Она началась в конце 2022 года и продолжается до сих пор. Для первоначальной компрометации злоумышленники применяют целевые фишинговые атаки.
По целому ряду признаков CheckPoint смогла приписать последнюю шпионскую операцию китайским хакерам, поддерживаемым государством. Тактики, методы и используемые инструменты соответствуют ранее замеченным действиям группировки Sharp Panda.
В своей новой вредоносной кампании Sharp Panda использует фишинговые электронные письма с вредоносными вложениями в виде файлов формата «.docx». Они нужны для развёртывания набора RoyalRoad и компрометации системы путём известных уязвимостей. Эксплойт создаёт запланированную задачу, а затем скачивает и запускает загрузчик вредоносных DLL, который, в свою очередь, загружает сам загрузчик SoulSearcher.
Схема действия вредоносного ПО Soul в последней кампании Sharp Panda
При запуске основной модуль вредоносной программы Soul устанавливает соединение с C2-сервером и ждёт загрузки дополнительных модулей, расширяющих его функциональность.
Новая версия Soul, проанализированная специалистами CheckPoint, имеет интересный режим «радиомолчания», который позволяет злоумышленникам указывать определенные дни недели и время суток, когда бэкдор не должен связываться с C2-сервером, чтобы избежать обнаружения.
Кроме того, в новой версии реализован собственный протокол связи с C2-сервером, который использует различные методы HTTP-запросов, включая GET, POST и DELETE. Эта особенность придаёт бэкдору значительную гибкость в применении.
Связь Soul с C2-сервером начинается с регистрации в сети и отправки данных жертвы (сведения об оборудовании, тип ОС, часовой пояс, IP-адрес и т.д.), после чего вредонос входит в бесконечный цикл связи с сервером. Команды, которые он может получить во время этой связи, включают загрузку дополнительных модулей, сбора и повторной отправки данных, перезапуска соединения или полного обрыва связи.
Фреймворк Soul был впервые замечен в 2017 году и впоследствии отслеживался в течение 2019 года в китайских шпионских кампаниях, проводимых злоумышленниками, не имеющими явных связей с Sharp Panda. Несмотря на солидный возраст Soul, эксперты CheckPoint пришли к выводу, что вредонос всё ещё находится на стадии разработки, его функционал и пути уклонения от обнаружения будут только дополняться в будущем.
