Неотдавнашна кампания, предприета от Earth Preta, показва, че групи от национални хакери, свързани с Китай, стават все по-умели в заобикалянето на решенията за сигурност.

Извършители, които са активни поне от 2012 г. насам, се проследявта от по-широката общност за киберсигурност под имената Bronze President, HoneyMyte, Mustang Panda, RedDelta и Red Lich.

Веригите от атаки, организирани от групата, започват с електронно писмо, в което се използват широк набор от инструменти за достъп до задни вратички, командване и контрол (C2) и ексфилтрация на данни.

Тези съобщения са снабдени със зловредни примамливи архиви, разпространявани чрез връзки към Dropbox или Google Drive, които използват странично зареждане на DLL, файлове с преки пътища LNK и фалшиви файлови разширения като вектори за пристигане, за да получат опора и да пуснат задни вратички като TONEINS, TONESHELL, PUBLOAD и MQsTTang (известен още като QMAGENT).

Наблюдавани са подобни вериги на заразяване, използващи връзки към Google Drive, които доставят Cobalt Strike още през април 2021 г.

„Earth Preta има склонност да крие зловреден полезен товар във фалшиви файлове, маскирайки ги като легитимни – техника, която е доказано ефективна за избягване на откриване“, заяви Trend Micro в нов анализ, публикуван в четвъртък.

Този метод за влизане, който беше забелязан за първи път в края на миналата година, оттогава е получил лека промяна, при която връзката за изтегляне на архива е вградена в друг примамлив документ, а файлът е защитен с парола в опит да се заобиколят решенията за имейл шлюзове.

„След това файловете могат да бъдат извлечени отвътре чрез паролата, предоставена в документа“, казват изследователите. „Използвайки тази техника, злонамереният ивършител, който стои зад атаката, може успешно да заобиколи услугите за сканиране.“

Първоначалният достъп до средата на жертвата е последван от фази на откриване на акаунти и повишаване на привилегиите, като Mustang Panda използва персонализирани инструменти като ABPASS и CCPASS, за да заобиколи контрола на потребителските акаунти (UAC) в Windows 10.

Освен това е наблюдавано, че групата разполага със зловреден софтуер като „USB Driver.exe“ (HIUPAN или MISTCLOAK) и „rzlog4cpp.dll“ (ACNSHELL или BLUEHAZE), за да се инсталира на сменяеми дискове и да създаде обратна обвивка с цел да се придвижва в мрежата.

Другите внедрени помощни програми включват CLEXEC – задна врата, способна да изпълнява команди и да изчиства дневниците за събития; COOLCLIENT и TROCLIENT – импланти, които са предназначени да записват натискания на клавиши, както и да четат и изтриват файлове; и PlugX.

„Освен добре познатите легитимни инструменти, бандитите са изработили и силно персонализирани инструменти, използвани за ексфилтрация“, отбелязват изследователите. Това включва NUPAKAGE и ZPAKAGE, които са оборудвани за събиране на файлове от Microsoft Office.

Констатациите още веднъж подчертават повишеното оперативно темпо на китайските кибершпиони и постоянните им инвестиции в усъвършенстване на кибернетичното им въоръжение с цел избягване на откриването.

„Earth Preta е способен и организиран екип, който непрекъснато усъвършенства своите TTP, укрепва възможностите си за разработка и изгражда гъвкав арсенал от инструменти и зловреден софтуер“, заключават изследователите.