Промышленные организации в Восточной Европе стали мишенью кита | SecAtor

Промышленные организации в Восточной Европе стали мишенью китайской APT31 (Zirconium, Judgment Panda, Bronze Vinewood и Red Keres), о чем сообщают ресерчеры из Лаборатории Касперского.

Злоумышленник сосредоточился на шпионской кампании, целью которой стала кража ценной интеллектуальной собственности у крупных промышленных организаций.

Причем АСУТП хакеров не интересовали, судя по всем признакам.

К расследованию серии атак Лаборатория Касперского приступила еще в 2022 году.

По результатам выяснили, что злоумышленники стремились создать устойчивый канал для кражи данных, в том числе хранящихся в закрытых системах, нацеливаясь через зараженные съемные диски.

Злоумышленники использовали улучшенные варианты ранее известного вредоносного ПО под названием FourteenHi, которое позволяет загружать или скачивать файлы, запускать команды и инициализировать обратную оболочку.

Причем новые варианты были разработаны специально под инфраструктуру промышленных организаций.

Кроме того, кибершпионы использовали новую вредоносную ПО под названием MeatBall, которая обеспечивает широкие возможности удаленного доступа. 

Для большинства имплантов злоумышленники применяли уязвимости перехвата DLL и методы внедрения в память, а также шифрование RC4, чтобы скрыть полезную нагрузку и избежать обнаружения.

Всего было идентифицировано более 15 имплантатов и их вариантов, установленных злоумышленниками в различных комбинациях.

Для эксфильтрации данных и доставки вредоносного ПО последующего этапа субъект злоупотреблял облачным хранилищем (Dropbox или Яндекс-Диском), а также сервисом, используемым для временного обмена файлами.

Кроме того, также использовался C2, который был развернут на обычных VPS.

Все технические подробности атак, включая IoC и TTP, лучше внимательно изучить в отчете исследователей Лаборатории Касперского, которые также представили и рекомендации для защиты от подобных угроз.