BlackBerry свързва кампанията за злонамерен софтуер, насочена към жертви в Индия, с китайската кибершпионажна група

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Екипът на BlackBerry Research & Intelligence освободен нов доклад във вторник, свързващ различни кампании за злонамерен софтуер с китайската група за кибершпионаж APT41, отбелязвайки, че групата се е възползвала от дейността на Cobalt Strike, използвайки персонализиран ковък профил C2, който използва фишинг примамки COVID-19, за да насочва жертвите в Индия.

Екипът успя да свърже фишинг примамки чрез PDF и ZIP файлове, съдържащи информация, свързана с данъчното законодателство и статистиката за COVID-19, маскирана като от индийски правителствени структури.

През 2020 г. правителството на САЩ повдигна обвинения срещу петима членове на APT41 за хакерство на над 100 компании по целия свят. Американски представители заявиха, че членовете на APT41 са успели да компрометират чуждестранни правителствени компютърни мрежи в Индия и Виетнам, както и продемократични политици и активисти в Хонконг.

Групата APT41 е една от най-скандалните и активни хакерски групи, спонсорирани от държавата. Операциите на ATP41 бяха описани за първи път в a Доклад за FireEye публикуван през август 2019 г., като докладът свързва групата с някои от най-големите атаки по веригата на доставки през последните години, както и с по-стари хакове, които ще станат още през 2012 г.

Групата използва публично достъпни профили, проектирани да изглеждат като легитимен мрежов трафик от Amazon, Gmail, OneDrive и други. BlackBerry откри връзки между тази кампания и други, публикувани от FireEye през 2020 г., както и Prevailion, Subex и PTSecurity.

“Изображението, което открихме, беше на държавно-спонсорирана кампания, която играе с надеждите на хората за бързо прекратяване на пандемията като примамка да улови жертвите си. И веднъж на машината на потребителя, заплахата се слива с дигиталната дограма, като използва притежават персонализиран профил, за да скрият мрежовия си трафик “, се казва в доклада на екипа.

„APT41 е плодотворна китайска държавна група за киберзаплахи, която е провела кампании за злонамерен софтуер, свързани с шпионаж и финансово мотивирана престъпна дейност, датираща още през 2012 г. Тази група заплахи е насочена към организации по целия свят, в много вертикали като пътувания, телекомуникации, здравеопазване, новини и образование. APT41 често използва фишинг имейли със злонамерени прикачени файлове като първоначален инфекциозен вектор. След като получат достъп до целевата организация, те обикновено разгръщат по -усъвършенстван зловреден софтуер, за да установят постоянна опора. Тази група използва различни различни семейства зловреден софтуер, включително крадци на информация, кейлогъри и задни врати. “

Изследователите казаха, че са открили, според тях, допълнителна инфраструктура APT41 и фишинг примамки, насочени към жертви в Индия, които съдържат информация, свързана с новото данъчно законодателство и статистиката за COVID-19. Предполага се, че тези съобщения са от индийски правителствени структури, се казва в доклада.

Целта на атаката беше да се зареди и изпълни Cobalt Strike Beacon в мрежата на жертвата с помощта на фишинг примамки и прикачени файлове.

FireEye и други компании за киберсигурност са прекарали години, документирайки тактиката на APT41, а екипът на BlackBerry заяви, че е намерил ковък профил C2 в GitHub, който прилича на този, споменат от FireEye и автор на китайски изследовател по сигурността с псевдоним „1135“.

„Тези профили имат няколко прилики: както използваните jQuery Malleable C2 профили, така и части от блока HTTP GET профил са почти идентични. Полетата на HTTP заглавки като„ accept “,„ user-agent “,„ host “и„ referer “, както и полето „set-uri“, всички съвпадат с данните на профила, изброени в блога на FireEye “, се обяснява в доклада.

“Чрез извличане и съпоставяне на HTTP заглавките, използвани в GET и POST заявките, дефинирани в конфигурациите на Beacon, можем да генерираме разкриващи връзки между на пръв поглед различна инфраструктура на Cobalt Strike. Докато идентифицирахме относително малък брой маяци, използващи домейна BootCSS като част от тях пластична C2 конфигурация, имаше и няколко клъстера с уникални метаданни за конфигурация, които ни позволиха да идентифицираме допълнителни маяци, свързани с APT41. Маяците, обслужвани от тези нови възли, използват различен ковък профил от тези в оригиналния клъстер, който се опитва да направи Beacon трафикът изглежда като легитимен трафик на Microsoft. “

Домейните, които екипът откри, също имат подобна конвенция за именуване и при разглеждането на кампанията BlackBerry откри набор от три PDF файла, свързани с .microsoftdocs.workers[.]dev домейни, насочени към жертви в Индия. Примамките обещават информация, свързана с данъчните правила и съветите за COVID-19.

Първият PDF, свързан с данъчните правила, съдържа вграден скрипт PowerShell, който се изпълнява, докато PDF файлът се показва на потребителя.

„Скриптът PowerShell изтегля и изпълнява полезен товар чрез„%temp% conhost.exe “, който зарежда файл с полезен товар, наречен„ event.dat “. Този .DAT файл е Cobalt Strike Beacon. Втората и третата примамки имат сходни потоци на изпълнение и компоненти; PDF примамка, conhost.exe и събитие.* полезен товар. В този случай тези файлове със събития имат разширение .LOG, а не .DAT “, се установява в доклада.

„Най-голямата разлика между втората и третата примамка е, че първата използва саморазархивиращ се архив, наречен„ Индия записва най-високото ниво за един ден covid_19 recoveries.pdf.exe “, а втората използва ZIP файл, наречен„ Индия записва най-високия сингъл досега “ ден COVE-19 recoveries.zip ‘. Примамките две и три също съдържат една и съща информация в съответните си PDF файлове. И двете се отнасят до рекордно големия брой възстановявания от COVID-19 в Индия, информация за която се твърди, че е от Министерството на здравеопазването на индийското правителство & Семейно благополучие. “

Изследователите отбелязаха, че предишен доклад от Subex от септември 2020 г. установява, че подобни опити за фишинг са насочени и към индийските граждани. Този доклад приписва атаката на групата Evilnum APT, но изследователите на BlackBerry не са съгласни, като посочват редица причини, поради които смятат, че виновникът е APT41.

Полезният товар всъщност е Cobalt Strike Beacons, отличителен белег на APT41 според BlackBerry и има редица конфигурационни настройки, които свързват атаката с APT41.

“С ресурсите на група заплахи на ниво национална държава е възможно да се създаде наистина потресаващо ниво на разнообразие в тяхната инфраструктура. И въпреки че никоя група за сигурност няма същото ниво на финансиране, като обединим колективната си мозъчна сила, ние все още можем да разкрием следите, които участващите киберпрестъпници са работили толкова усилено, за да ги скрият “, добавят изследователите.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •