Поделиться
Российские госструктуры под атакой китайских хакеров
Китайские хакеры нацелились на десятки ИТ-систем, используемых российскими правительственными организациями и ИТ-компаниями. Хакеры использует обновленную версию вредоносного программного обеспечения (ПО) Cloudsorcerer.
Новые атаки на госорганизации в России
Специалисты по информационной безопасности (ИБ) из «Лаборатории Касперского» выявили активную серию целевых кибератак на десятки компьютеров российских государственных организаций и ИТ-компаний. Об этом в середине августа 2024 г. сообщило издание Bleepingсomputer.
В ходе этих кибератак хакеры заражали устройства при помощи фишинговых писем с вложениями, содержащими вредоносные файлы ярлыков. При нажатии на ярлыки происходила установка вредоносного ПО, которое в дальнейшем получало команды через облачное хранилище Dropbox. С помощью этого ПО злоумышленники загружали на зараженные компьютеры дополнительных троянцев, в частности инструменты, используемые кибергруппировкой APT31, а также обновленный бэкдор Cloudsorcerer. В «Лаборатории Касперского» назвали эту кампанию Eastwind.
Хакерская группировка APT27 известна своими ИТ-атаками на правительственные организации, крупные корпорации и международные организации. Группировка также известна как Emissary Panda и Threat Group-3390. APT27 имеет свои корни в Китае и находится в центре внимания кибербезопасности с начала 2010 г. Группировка занимается шпионажем, кражей конфиденциальной информации и проведением кибератак на крупные организации по всему миру.
Группировка APT31 (она же Zirconium или Judgment Panda), известная с 2016 г., а ее характерной особенностью является специфический вектор кибератак, а именно: эксплуатация уязвимостей в таких приложениях, как Java и Adobe Flash, использование неизвестных ранее уязвимостей нулевого дня от Equation. В различное время жертвами группировки становились правительства Финляндии, Норвегии и Германии. Ряд экспертов считают, что данная группа проводила атаки на Microsoft Exchange в Великобритании и США, на организации и лица, близкие к кандидатам в президенты США во время предвыборной кампании 2020 г., атаки во Франции в 2021 г. Также некоторые эксперты предполагают, что у этой группировки китайские корни.
Согласно данным «Лаборатории Касперского», троянская программа GrewApacha, загружаемая злоумышленниками из облачного хранилища Dropbox, использовалась группировкой APT31 как минимум с 2021 г. Бэкдор Cloudsorcerer был обновлен и теперь в нем в качестве первоначального командного сервера используются профили в блоге «Живой Журнал» и на сайте вопросов и ответов Quora. В кибератаках используется ранее неизвестный имплант Plugy c функциональностью классического бэкдора. Plugy загружается через бэкдор Cloudsorcerer, обладает обширным набором команд и поддерживает три различных протокола общения с командным центром. Кроме того, его код схож с кодом бэкдора DRBControl (также известен как Clambling), который несколько ИБ-компаний приписывают группировке APT27.
Техническая информация
Хакеры использовали целевой фишинг для первоначального заражения. Злоумышленники отправляли на электронные адреса, принадлежащие затронутым организациям, вредоносные письма с rar-архивами во вложении. Архивы имели следующие названия: инициативная группа из Черниговского района Приморского края.rar; вх.rar. Они содержали следующие файлы: Папку .con, в которой хранились: легитимный документ-приманка 1.docx, легитимный файл desktop.exe и вредоносный файл VERSION.dll.
Примечательно то, что аналогичный метод заражения применялся в кибератаке на одну организацию в США с использованием бэкдора Cloudsorcerer — об этом сообщила компания Proofpoint в июле 2024 г.
Хакеры используют классическую технику DLL sideloading: при запуске файла desktop.exe в соответствующий ему процесс загружается вредоносная библиотека VERSION.dll. Эта библиотека представляет собой бэкдор, упакованный при помощи инструмента VMProtect. При запуске он пытается связаться с облачным сервисом Dropbox при помощи жестко закодированного токена аутентификации. Подключившись к облаку, бэкдор считывает команды, которые необходимо исполнить, из содержащегося в хранилище файла <имя компьютера>/a.psd. Всего бэкдор поддерживает пять команд со следующими именами: dir, exec, sleep, upload, dawnload. Результаты выполнения этих команд загружаются в облачное хранилище в файл <имя компьютера>/b.psd.
Группировка APT31
По данным ИБ-специалистов из «Лаборатории Касперского», китайские хакеры использовали вышеописанный бэкдор для того, чтобы собирать информацию о зараженных компьютерах и устанавливать на них дополнительное вредоносное ПО. Когда злоумышленники запускали файл msedgeupdate.exe, в его процесс методом dll sideloading загружалась вредоносная библиотека msedgeupdate.dll.
Хотя набор из трех файлов напоминает «троицу», характерную для ИТ-атак с использованием Plugx, анализ этих файлов показал, что они являются rat-троянцем Grewapacha группировки APT31, который ранее уже описывали в 2021 и 2023 гг. Поведение загрузчика (msedgeupdate.dll) спустя год не изменилось. Как и раньше, он расшифровывает хранящуюся на диске полезную нагрузку при помощи xor-ключа и загружает ее в процесс dllhost.exe.
Сам rat-троянец также мало отличается от того, что был описан в 2023 г. Однако в его работу хакеры небольшие изменения: например, в новой версии используется два сервера управления вместо одного. В качестве начального сервера злоумышленники задействуют биографию профиля в сервисе GitHub — в ней содержится закодированная алгоритмом Base64 строка, которую считывает троянец. Извлеченную из профиля GitHub строку зловред декодирует, а затем расшифровывает однобайтовым алгоритмом XOR с ключом 0x09, тем самым получая адрес основного сервера управления (для скриншота выше — update.studiokaspersky[.]com).
Обнаружение следов выявленной ИТ-атаки
Выявленные в ходе кибератаки троянцы сильно отличаются друг от друга. Поэтому для обнаружения каждого из них необходимо использовать отдельный набор индикаторов компрометации.
Для того чтобы выявить работу бэкдора, распространяемого через электронную почту и использующего Dropbox для взаимодействия со злоумышленниками, можно провести поиск сравнительно больших по размеру (более 5 МБ) dll-файлов. О работе этого бэкдора может также свидетельствовать регулярное обращение к облаку Dropbox в сетевом трафике.
Троянец Grewapacha группировки APT31 может быть обнаружен поиском неподписанного файла с именем msedgeupdate.dll на файловой системе. Размер этого файла также составляет несколько МБ. Имплант Plugy, доставляемый при помощи бэкдора Cloudsorcerer, в ходе своей работы запускает процесс с именем msiexec.exe для каждого вошедшего в ИТ-систему пользователя, а также создает именованные каналы с шаблоном имени. Присутствие этих двух индикаторов на ИТ-системе с высокой степенью уверенности свидетельствует о заражении.
В ходе атак на государственные организации России хакеры часто используют наборы ИТ-инструментов, в которых реализуются самые разные техники и тактики. Разрабатывая эти инструменты, они прилагают немало усилий для того, чтобы максимально замаскировать вредоносную активность в сетевом трафике. Так, хакеры, стоящие за кампанией Eastwind, использовали в качестве командных серверов популярные сетевые сервисы — GitHub, Dropbox, Quora, а также российские «Живой Журнал» и «Яндекс.Диск».
Примечательно, что в компании Eastwind было замечено вредоносное ПО двух различных китаеязычных группировок: APT27 и APT31. Этот пример наглядно показывает, что APT-группировки очень часто работают совместно, активно делясь друг с другом знаниями и ИТ-инструментами для кибератак.
Короткая ссылка
