Представители кибершпионской конъюнктуры из поднебесной станов | SecAtor

Представители кибершпионской конъюнктуры из поднебесной становятся все более опытными и изощрёнными в обходе решений безопасности.

К такому заключению пришли специалисты из Trendmicro, которые представили анализ недавних кампаний проправительственной китайской группировки Earth Preta.

Субъект угрозы, активен как минимум с 2012 года и отслеживается в ряде компаний по кибербезопасности, как Bronze President, HoneyMyte, Mustang Panda, RedDelta и Red Lich.

Цепочка атак начинается как обычно, а именно с рассылки фишинговых электронных писем с целью развертывания широкого спектра инструментов для организации бэкдора, доступа к C2 и извлечения данных.

Как правило, сообщения содержат вредоносные вложения в виде архивов-приманок, распространяемых посредством Dropbox или Google Drive для загрузки DLL, ярлыков LNK и файлов с поддельными расширениями для того, чтобы закрепиться в системе и затем установить один из бэкдоров TONEINS, TONESHELL, PUBLOAD, and MQsTTang (aka QMAGENT).

Аналогичные вектора заражений с ссылками на Google Drive использовались в апреле 2021 года для установки Cobalt Strike.

Как считают специалисты, Earth Preta закрепляет тенденцию скрывать полезную нагрузку в поддельных файлах, маскируя их под легитимные, так как этот метод доказал свою эффективность для предотвращения обнаружений.

Этот сценарий с первоначальной точкой входа впервые был замечен в конце прошлого года и в настоящее время получил небольшую, но очень примечательную доработку, при которой ссылка на скачивание архива встраивается в другой документ-приманку, а конечный файл защищен паролем, что позволяет обходить службы сканирования.

Первоначальный доступ к среде сопровождается поиском учетной записи жертвы с последующим повышением привилегий, при этом злоумышленники используют пользовательские инструменты, такие как ABPASS и CCPASS, чтобы обойти User Account Control (механизм контроля учетных записей в Windows 10).

Помимо прочего хакеры разварачивают малварь "USB Driver.exe" (HIUPAN или MISTCLOAK) и "rzlog4cpp.dll" (ACNSHELL или BLUEHAZE), чтобы заинсталлироваться на съемные накопили и создать reverse shell для горизонтального перемещения в сети.

Среди других вредоносных утилит встречались: CLEXEC - бэкдор, способный выполнять команды и очищать журналы событий; COOLCLIENT и TROCLIENT - имплантаты, предназначенные для записи нажатий клавиш, чтения и удаления файлов; PlugX для распространения через USB-накопители.

Субъект угрозы также разработал сложные настраиваемые инструменты, используемые для эксфильтрации, такие как NUPAKAGE и ZPAKAGE, оба из которых оснащены для сбора файлов Microsoft Office.

Результаты анализа еще раз подчеркивают возросший потенциал китайских APT и их постоянные инвестиции в совершенствование своего арсенала, а Earth Preta явный пример субъекта угрозы, который регулярно совершенствует свои ТТП, усиливает возможности разработки и создает универсальный набор вредоносных инструментов для осуществления кибершпионской деятельности.