Търсене
Close this search box.

Започналата в края на юли 2024 г. серия от целенасочени кибератаки, насочени срещу десетки системи, използвани в руски правителствени организации и ИТ компании, е свързана с китайски хакери от групите APT31 и APT 27.

Kaspersky, който открива дейността, нарича кампанията „EastWind“, като съобщава, че в нея се използва актуализирана версия на задната врата CloudSorcerer, забелязана в подобна кампания за кибершпионаж от май 2024 г., също насочена към руски правителствени организации.

Трябва да се отбележи, че дейността на CloudSorcerer не е обвързана с Русия, тъй като Proofpoint регистрира атака, насочена към базиран в САЩ мозъчен тръст през май 2024 г.

Инструментариум EastWind

Първоначалната инфекция разчита на фишинг имейли, съдържащи прикачени файлове с архиви RAR, наречени на името на целта, които използват странично зареждане на DLL, за да пуснат задна врата в системата от Dropbox, докато отварят документ за измама.

Задната врата може да навигира във файловата система, да изпълнява команди, да ексфилтрира данни или да въвежда допълнителни полезни товари на компрометираната машина.

Наблюденията на Kaspersky разкриват, че нападателите са използвали backdoor, за да въведат троянски кон на име „GrewApacha“, който е свързан с APT31.

Най-новият вариант на GrewApacha се отличава с някои подобрения в сравнение с последната анализирана версия от 2023 г., включително използването на два командни сървъра вместо един, съхраняването на адреса им в base64-енкодиран низ в профилите на GitHub, откъдето зловредният софтуер го чете.

Друг зловреден софтуер, зареден от задната врата, е обновена версия на CloudSorcerer, опакована с VMProtect за избягване на атаките.

CloudSorcerer използва механизъм за защита от криптиране, предназначен да предотврати изпълнението му на нецелеви системи, като използва уникален процес на генериране на ключове, свързан с машината на жертвата.

При изпълнение на програмата (GetKey.exe) се генерира уникално четирибайтово число от текущото състояние на системата и се криптира с помощта на функцията Windows CryptProtectData, за да се получи уникален, свързан със системата шифров текст.

Ако се направи опит за изпълнение на зловредния софтуер на друга машина, генерираният ключ ще се различава, така че декриптирането на полезния товар на CloudSorcerer ще се провали.
Новата версия на CloudSorcerer също използва публични профилни страници, за да получи своя първоначален C2 адрес, но сега е преминала от GitHub към използване на Quora и руската социална медийна мрежа LiveJournal за тази цел.

Третият имплант, наблюдаван при атаките на EastWind, въведен чрез CloudSorcerer, е PlugY – неизвестна досега задна врата.

PlugY се отличава с висока гъвкавост в комуникациите си в C2 и възможност за изпълнение на команди за операции с файлове, изпълнение на шел команди, заснемане на екрана, записване на клавиши и наблюдение на клипборда.

Анализът на Kaspersky показва, че кодът, използван в PlugY, е бил наблюдаван преди това в атаки на групата за заплахи APT27.

Също така библиотека, използвана за C2 комуникации чрез UDP протокол, е открита само в DRBControl и PlugX, които са зловредни инструменти, широко използвани от китайски  заплахи.

От Kaspersky коментират, че тъй като използваните в атаките EastWind задни врати се различават значително, откриването на всички тях на компрометирана машина е предизвикателство. Някои неща, за които трябва да се внимава, са:

  • DLL файлове с размер, по-голям от 5 MB, в директорията ‘C:\Users\Public’
  • Неподписани файлове „msedgeupdate.dll“ във файловата система
  • Стартиран процес с име „msiexec.exe“ за всеки влязъл в системата потребител

 

Руската фирма за киберсигурност заключава, че APT27 и APT31 вероятно работят заедно в EastWind.

Този случай подчертава сложното взаимодействие между съюзнически държави със силни дипломатически връзки и общи стратегически цели, но с активни операции за кибершпионаж една срещу друга.

Сътрудничеството в областта на икономиката, сигурността и военната сфера не изключва възможността разузнавателни агенции, действащи в сянка, да предприемат сложни и тясно насочени шпионски операции за събиране на ценна разузнавателна информация.

 

Източник: По материали от Интернет

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
Бъдете социални
Още по темата
08/10/2024

Как технологията ACR на Sam...

Смарт телевизорите на големи производители като...
02/10/2024

Севернокорейски хакери с пр...

Професионален хакерски екип, свързан със севернокорейското...
01/10/2024

Deepfake Дмитро Кулеба се с...

По-рано този месец сенатор Бен Кардин...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!