2023-03-27 17:37:14
Представители кибершпионской конъюнктуры из поднебесной становятся все более опытными и изощрёнными в обходе решений безопасности.
К такому заключению пришли специалисты из
Trendmicro, которые представили
анализ недавних кампаний проправительственной китайской группировки
Earth Preta.
Субъект угрозы, активен как минимум с 2012 года и отслеживается в ряде компаний по кибербезопасности, как
Bronze President, HoneyMyte, Mustang Panda, RedDelta и Red Lich.
Цепочка атак начинается как обычно, а именно с рассылки фишинговых электронных писем с целью развертывания широкого спектра инструментов для организации бэкдора, доступа к C2 и извлечения данных.
Как правило, сообщения содержат вредоносные вложения в виде архивов-приманок, распространяемых посредством
Dropbox или Google Drive для загрузки DLL, ярлыков LNK и файлов с поддельными расширениями для того, чтобы закрепиться в системе и затем установить один из бэкдоров
TONEINS, TONESHELL, PUBLOAD, and MQsTTang (aka QMAGENT).
Аналогичные вектора заражений с ссылками на
Google Drive использовались в апреле 2021 года для установки Cobalt Strike.
Как считают специалисты,
Earth Preta закрепляет тенденцию скрывать полезную нагрузку в поддельных файлах, маскируя их под легитимные, так как этот метод доказал свою эффективность для предотвращения обнаружений.
Этот сценарий с первоначальной точкой входа впервые был замечен в конце прошлого года и в настоящее время получил небольшую, но очень примечательную доработку, при которой ссылка на скачивание архива встраивается в другой документ-приманку, а конечный файл защищен паролем, что позволяет обходить службы сканирования.
Первоначальный доступ к среде сопровождается поиском учетной записи жертвы с последующим повышением привилегий, при этом злоумышленники используют пользовательские инструменты, такие как
ABPASS и CCPASS, чтобы обойти
User Account Control (механизм контроля учетных записей в Windows 10).
Помимо прочего хакеры разварачивают малварь "USB Driver.exe" (
HIUPAN или MISTCLOAK) и "rzlog4cpp.dll" (
ACNSHELL или BLUEHAZE), чтобы заинсталлироваться на съемные накопили и создать reverse shell для горизонтального перемещения в сети.
Среди других вредоносных утилит встречались:
CLEXEC - бэкдор, способный выполнять команды и очищать журналы событий;
COOLCLIENT и TROCLIENT - имплантаты, предназначенные для записи нажатий клавиш, чтения и удаления файлов;
PlugX для распространения через USB-накопители.
Субъект угрозы также разработал сложные настраиваемые инструменты, используемые для эксфильтрации, такие как
NUPAKAGE и ZPAKAGE, оба из которых оснащены для сбора файлов
Microsoft Office.
Результаты анализа еще раз подчеркивают возросший потенциал китайских APT и их постоянные инвестиции в совершенствование своего арсенала, а
Earth Preta явный пример субъекта угрозы, который регулярно совершенствует свои ТТП, усиливает возможности разработки и создает универсальный набор вредоносных инструментов для осуществления кибершпионской деятельности.
18.5K views14:37