Grupa Rancor, działająca przynajmniej od 2017 roku, przeprowadziła wcześniej ataki w Singapurze i Kambodży, prawdopodobnie o charakterze wywiadowczym.
Check Point dokonał pogłębionej analizy pierwotnej metody ataku oraz infrastruktury i artefaktów użytych w celu oszukania ofiar wykrytej kampanii, wiązanej właśnie z działalnością grupy Rancor. Ponadto, przedstawił pewne fakty, które mogą świadczyć o tym, że grupa Rancor APT wywodzi się z Chin.
Główne ustalenia
Dziesiątki e-maili, rzekomo wysyłanych przez urzędników państwowych i zawierających dokumenty o treści politycznej, miały skłonić ofiary do otwarcia ich i zainstalowania szkodliwego oprogramowania, dającego atakującym pełny dostęp do ich komputerów. W trakcie swoich badań Check Point odkrył wiele faktów świadczących o tym, że grupa Rancor rzeczywiście działa w Chinach. Prawdopodobnie grupa będzie nadal ewoluować, stale zmieniając techniki i procedury działania – tak jak to miało miejsce podczas zaobserwowanej ostatniej kampanii – a także intensywnie poszukując metod obejścia zabezpieczeń systemów i starając się uniknąć powiązania z atakami.
W oparciu o materiał CP Research
>>> Czytaj też: Chińczyk wspierany sztuczną inteligencją. To realny plan Pekinu