Rambler's Top100
Все новости Новости отрасли

APT Group разработала бэкдоры, чтобы шпионить за компаниями и правительственным учреждением Центральной Азии

15 мая 2020

Avast и ESET провели совместный анализ APT-атаки, нацеленной на компании и учреждения Центральной Азии. АРТ-атака –– целевая или, другими словами, таргетированная кибератака, которую в режиме реального времени контролирует хакер. Группировки, которые проводят подобные атаки, называются АРТ-группировками. 

Специалисты проанализировали образцы, которые использовала APT-группировка для слежки за телекоммуникационной и газовой компаниями, а также правительственным учреждением в Центральной Азии.

Хакеры использовали бэкдоры, чтобы получить долговременный доступ к корпоративным сетям. Основываясь на полученных данных, специалисты Avast предполагают, что эта группа из Китая и она также причастна к атакам в Монголии, России и Беларуси. Во-первых, в этот раз хакеры использовали троян Gh0st RAT, который ранее уже использовался китайскими APT-группами. Во-вторых, эксперты Avast нашли сходства в этом коде с тем, который они анализировали ранее и который был приписан китайской группировке. 

Бэкдоры давали возможность хакерам управлять файлами жертв, удалять их, делать снимки экрана, вмешиваться в процессы и работу сервисов, а также выполнять консольные команды и удалять признаки своего присутствия. Кроме того, некоторые команды могли настраивать бэкдоры выполнять фильтрацию данных на командном сервере. Командный сервер мог также дать команду зараженным устройствам выступать в качестве прокси-сервера или прослушивать определенный порт на каждом сетевом интерфейсе. Еще хакеры использовали такие инструменты, как Gh0st RAT и Management Instrumentation, для бокового перемещения во взломанных сетях.

«Группа, стоящая за этой атакой, перекомпилировала свои стандартные инструменты (которые, в дополнение к бэкдорам, включали Mimikatz и Gh0st RAT), чтобы избежать обнаружения антивирусами. Это привело к большому количеству выборок, причем двоичные файлы часто защищены VMProtect, что затрудняет анализ, –– рассказывает Луиджино Камастра, исследователь вредоносных программ в Avast. –– Исходя из того, что мы обнаружили, и того, что мы смогли связать элементы этих атак с атаками на другие страны, мы предполагаем, дальше хакеры этой группировки будут нацелены и на другие страны.  

Avast сообщил о своих выводах местной команде CERT и обратился к пострадавшей телекоммуникационной компании.

Источник: Avast

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Читайте также:

Обнаружены целевые атаки на российские компании, занимающиеся автоматизацией бизнеса

Хакеры выдают себя за экспертов по информационной безопасности

40% инцидентов связаны с деятельностью известных APT-группировок

Бэкдор три года распространялся под видом легитимного установщика ПО для Linux

Хакеры атакуют российские компании с помощью утекших исходных кодов

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.

Продолжение использования сайта пользователем интерпретируется как согласие на обработку фрагментов персональных данных (таких, как cookies) для целей корректной работы сайта.

Согласен