Неотдавнашна кампания, предприета от Earth Preta, показва, че групи от национални хакери, свързани с Китай, стават все по-умели в заобикалянето на решенията за сигурност.
Извършители, които са активни поне от 2012 г. насам, се проследявта от по-широката общност за киберсигурност под имената Bronze President, HoneyMyte, Mustang Panda, RedDelta и Red Lich.
Веригите от атаки, организирани от групата, започват с електронно писмо, в което се използват широк набор от инструменти за достъп до задни вратички, командване и контрол (C2) и ексфилтрация на данни.
Тези съобщения са снабдени със зловредни примамливи архиви, разпространявани чрез връзки към Dropbox или Google Drive, които използват странично зареждане на DLL, файлове с преки пътища LNK и фалшиви файлови разширения като вектори за пристигане, за да получат опора и да пуснат задни вратички като TONEINS, TONESHELL, PUBLOAD и MQsTTang (известен още като QMAGENT).
Наблюдавани са подобни вериги на заразяване, използващи връзки към Google Drive, които доставят Cobalt Strike още през април 2021 г.
„Earth Preta има склонност да крие зловреден полезен товар във фалшиви файлове, маскирайки ги като легитимни – техника, която е доказано ефективна за избягване на откриване“, заяви Trend Micro в нов анализ, публикуван в четвъртък.
Този метод за влизане, който беше забелязан за първи път в края на миналата година, оттогава е получил лека промяна, при която връзката за изтегляне на архива е вградена в друг примамлив документ, а файлът е защитен с парола в опит да се заобиколят решенията за имейл шлюзове.
„След това файловете могат да бъдат извлечени отвътре чрез паролата, предоставена в документа“, казват изследователите. „Използвайки тази техника, злонамереният ивършител, който стои зад атаката, може успешно да заобиколи услугите за сканиране.“
Първоначалният достъп до средата на жертвата е последван от фази на откриване на акаунти и повишаване на привилегиите, като Mustang Panda използва персонализирани инструменти като ABPASS и CCPASS, за да заобиколи контрола на потребителските акаунти (UAC) в Windows 10.
Освен това е наблюдавано, че групата разполага със зловреден софтуер като „USB Driver.exe“ (HIUPAN или MISTCLOAK) и „rzlog4cpp.dll“ (ACNSHELL или BLUEHAZE), за да се инсталира на сменяеми дискове и да създаде обратна обвивка с цел да се придвижва в мрежата.
Другите внедрени помощни програми включват CLEXEC – задна врата, способна да изпълнява команди и да изчиства дневниците за събития; COOLCLIENT и TROCLIENT – импланти, които са предназначени да записват натискания на клавиши, както и да четат и изтриват файлове; и PlugX.
„Освен добре познатите легитимни инструменти, бандитите са изработили и силно персонализирани инструменти, използвани за ексфилтрация“, отбелязват изследователите. Това включва NUPAKAGE и ZPAKAGE, които са оборудвани за събиране на файлове от Microsoft Office.
Констатациите още веднъж подчертават повишеното оперативно темпо на китайските кибершпиони и постоянните им инвестиции в усъвършенстване на кибернетичното им въоръжение с цел избягване на откриването.
„Earth Preta е способен и организиран екип, който непрекъснато усъвършенства своите TTP, укрепва възможностите си за разработка и изгражда гъвкав арсенал от инструменти и зловреден софтуер“, заключават изследователите.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.