Започналата в края на юли 2024 г. серия от целенасочени кибератаки, насочени срещу десетки системи, използвани в руски правителствени организации и ИТ компании, е свързана с китайски хакери от групите APT31 и APT 27.
Kaspersky, който открива дейността, нарича кампанията „EastWind“, като съобщава, че в нея се използва актуализирана версия на задната врата CloudSorcerer, забелязана в подобна кампания за кибершпионаж от май 2024 г., също насочена към руски правителствени организации.
Трябва да се отбележи, че дейността на CloudSorcerer не е обвързана с Русия, тъй като Proofpoint регистрира атака, насочена към базиран в САЩ мозъчен тръст през май 2024 г.
Първоначалната инфекция разчита на фишинг имейли, съдържащи прикачени файлове с архиви RAR, наречени на името на целта, които използват странично зареждане на DLL, за да пуснат задна врата в системата от Dropbox, докато отварят документ за измама.
Задната врата може да навигира във файловата система, да изпълнява команди, да ексфилтрира данни или да въвежда допълнителни полезни товари на компрометираната машина.
Наблюденията на Kaspersky разкриват, че нападателите са използвали backdoor, за да въведат троянски кон на име „GrewApacha“, който е свързан с APT31.
Най-новият вариант на GrewApacha се отличава с някои подобрения в сравнение с последната анализирана версия от 2023 г., включително използването на два командни сървъра вместо един, съхраняването на адреса им в base64-енкодиран низ в профилите на GitHub, откъдето зловредният софтуер го чете.
Друг зловреден софтуер, зареден от задната врата, е обновена версия на CloudSorcerer, опакована с VMProtect за избягване на атаките.
CloudSorcerer използва механизъм за защита от криптиране, предназначен да предотврати изпълнението му на нецелеви системи, като използва уникален процес на генериране на ключове, свързан с машината на жертвата.
При изпълнение на програмата (GetKey.exe) се генерира уникално четирибайтово число от текущото състояние на системата и се криптира с помощта на функцията Windows CryptProtectData, за да се получи уникален, свързан със системата шифров текст.
Ако се направи опит за изпълнение на зловредния софтуер на друга машина, генерираният ключ ще се различава, така че декриптирането на полезния товар на CloudSorcerer ще се провали.
Новата версия на CloudSorcerer също използва публични профилни страници, за да получи своя първоначален C2 адрес, но сега е преминала от GitHub към използване на Quora и руската социална медийна мрежа LiveJournal за тази цел.
Третият имплант, наблюдаван при атаките на EastWind, въведен чрез CloudSorcerer, е PlugY – неизвестна досега задна врата.
PlugY се отличава с висока гъвкавост в комуникациите си в C2 и възможност за изпълнение на команди за операции с файлове, изпълнение на шел команди, заснемане на екрана, записване на клавиши и наблюдение на клипборда.
Анализът на Kaspersky показва, че кодът, използван в PlugY, е бил наблюдаван преди това в атаки на групата за заплахи APT27.
Също така библиотека, използвана за C2 комуникации чрез UDP протокол, е открита само в DRBControl и PlugX, които са зловредни инструменти, широко използвани от китайски заплахи.
От Kaspersky коментират, че тъй като използваните в атаките EastWind задни врати се различават значително, откриването на всички тях на компрометирана машина е предизвикателство. Някои неща, за които трябва да се внимава, са:
Руската фирма за киберсигурност заключава, че APT27 и APT31 вероятно работят заедно в EastWind.
Този случай подчертава сложното взаимодействие между съюзнически държави със силни дипломатически връзки и общи стратегически цели, но с активни операции за кибершпионаж една срещу друга.
Сътрудничеството в областта на икономиката, сигурността и военната сфера не изключва възможността разузнавателни агенции, действащи в сянка, да предприемат сложни и тясно насочени шпионски операции за събиране на ценна разузнавателна информация.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.