На плодовития китайски национален колектив, известен като APT41 (известен още като Brass Typhoon, Earth Baku, Wicked Panda или Winnti), се приписва сложна кибератака, насочена към хазартната и игралната индустрия.

„В продължение на поне шест месеца нападателите незабелязано са събирали ценна информация от целевата компания, включително, но не само, мрежови конфигурации, потребителски пароли и тайни от процеса LSASS“, казва Идо Наор, съосновател и главен изпълнителен директор на израелската компания за киберсигурност Security Joes, в изявление, споделено с The Hacker News.

„По време на проникването нападателите непрекъснато актуализираха своя набор от инструменти въз основа на отговора на екипа по сигурността. Наблюдавайки действията на защитниците, те променяха своите стратегии и инструменти, за да заобиколят откриването и да поддържат постоянен достъп до компрометираната мрежа.“

Многоетапната атака, насочена към един от клиентите на компанията и продължила близо девет месеца тази година, показва припокриване с набор от прониквания, проследени от доставчика на киберсигурност Sophos под прозвището Операция „Crimson Palace“.

Наор заяви, че компанията е реагирала на инцидента преди четири месеца, като добави, че „тези атаки зависят от спонсорирани от държавата лица, вземащи решения. Този път с голяма увереност подозираме, че APT41 са преследвали финансова изгода“.

Кампанията е разработена с мисъл за скритост, като използва множество тактики за постигане на целите си чрез използване на персонализиран набор от инструменти, които не само заобикалят софтуера за сигурност, инсталиран в средата, но и събират критична информация и създават тайни канали за постоянен отдалечен достъп.

Security Joes описва APT41 като „висококвалифицирана и методична“, като изтъква способността ѝ да извършва шпионски атаки, както и да отравя веригата за доставки, като по този начин води до кражба на интелектуална собственост и финансово мотивирани прониквания като ransomware и добив на криптовалута.

Точният първоначален вектор за достъп, използван при атаката, засега не е известен, но доказателствата сочат, че това са spear-phishing имейли, предвид липсата на активни уязвимости в уеб приложения, насочени към интернет, или компрометиране на веригата за доставки.

„Веднъж попаднали в целевата инфраструктура, нападателите изпълниха DCSync атака, целяща събиране на хешове на пароли на служебни и администраторски акаунти, за да разширят достъпа си“, се казва в доклада на компанията. „С тези идентификационни данни те установиха устойчивост и поддържаха контрол над мрежата, като се фокусираха особено върху административните акаунти и акаунтите на разработчиците.“

Твърди се, че нападателите методично са извършвали разузнавателни и последващи дейности, като често са променяли набора си от инструменти в отговор на предприетите стъпки за противодействие на заплахата и са увеличавали привилегиите си с крайна цел изтегляне и изпълнение на допълнителни полезни товари.

Някои от техниките, използвани за реализиране на целите им, включват Phantom DLL Hijacking и използване на легитимната помощна програма wmic.exe, без да споменаваме злоупотребата с достъпа им до служебни акаунти с администраторски права за задействане на изпълнението.

Следващият етап е зловреден DLL файл с име TSVIPSrv.dll, който се извлича чрез протокола SMB, след което полезният товар установява контакт със сървър за управление и контрол (C2), който е кодиран в твърд код.

„Ако твърдокодираният C2 не успее, имплантът се опитва да актуализира информацията си за C2, като издирва потребители на GitHub, използвайки следния URL адрес: github[.]com/searcho=desc&q=pointers&s=joined&type=Users&.“

„Зловредният софтуер анализира HTML, върнат от заявката в GitHub, като търси поредици от думи с главни букви, разделени само с интервали. Той събира осем от тези думи, след което извлича само главните букви между A и P. Този процес генерира 8-символен низ, който кодира IP адреса на новия C2 сървър, който ще бъде използван при атаката.“

Първоначалният контакт със C2 сървъра проправя пътя за профилиране на заразената система и извличане на още зловреден софтуер, който да бъде изпълнен чрез сокетна връзка.

От Security Joes заявиха, че китайците са замълчали за няколко седмици, след като дейностите им са били засечени, но в крайна сметка са се завърнали с обновен подход за изпълнение на силно обфускулиран JavaScript код, присъстващ в модифицирана версия на XSL файл („texttable.xsl“), с помощта на LOLBIN wmic.exe.

„След като командата WMIC.exe MEMORYCHIP GET бъде стартирана, тя непряко зарежда файла texttable.xsl, за да форматира изхода, принуждавайки изпълнението на зловредния JavaScript код, инжектиран от нападателя“, обясняват изследователите.

От своя страна JavaScript кодът служи като програма за изтегляне, която използва домейна time.qnapntp[.]com като C2 сървър за извличане на последващ полезен товар, който снема отпечатъци от машината и изпраща информацията обратно към сървъра, при спазване на определени критерии за филтриране, които вероятно служат за насочване само към тези машини, които представляват интерес за извършителя на заплахата.

„Това, което наистина се откроява в кода, е умишленото насочване към машини с IP адреси, съдържащи поднивото „10.20.22“,“ казват изследователите. “

„Това подчертава кои конкретни устройства са ценни за нападателя, а именно тези в подмрежите 10.20.22[0-9].[0-255]. Като съпоставихме тази информация с мрежовите логове и IP адресите на устройствата, в които е намерен файлът, стигнахме до заключението, че нападателят използва този механизъм за филтриране, за да гарантира, че са засегнати само устройства в подмрежата VPN.“