Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Группировка Ke3chang использует бэкдор Okrum для атак на дипломатов

19/07/19

hack42-1Исследователи из компании ESET опубликовали отчет, посвященный деятельности киберпреступной группировки Ke3chang (она же Vixen Panda, Royal APT, Playful Dragon и APT15). Группировка известна кампаниями по кибершпионажу против организаций в нефтедобывающей и военной сфере, правительственных подрядчиков и дипломатических представительств и организаций.

По данным специалистов, первая активность преступников датируется по меньшей мере 2010 годом. Впервые бэкдор Okrum был обнаружен в декабре 2016 года в атаках на организации в Словакии. Наряду с Okrum группировка использовала бэкдоры BS2005 и Ketrican, а также вредоносные программы RoyalDNS.

Okrum представляет собой динамическую библиотеку, для загрузки и установки которой используются два компонента первого этапа. Данные компоненты постоянно дорабатываются злоумышленниками в целях избежать обнаружения.

Okrum поддерживает только базовые команды для скачивания и загрузки данных, выполнения двоичных файлов или запуска shell-команд. Бэкдор также может обновляться до более свежей версии и регулировать время, в течение которого он спит после каждой команды. Имплант Okrum получает права администратора с помощью API ImpersonateLoggedOnUser и собирает такие данные, как имя компьютера, имя пользователя, IP-адрес хоста, значение основного DNS-суффикса, версия ОС, номер сборки и архитектура.

В основном для достижения своих целей злоумышленники вводят команды вручную или могут использовать различные инструменты и программное обеспечение, например, программы для извлечения паролей или кейлоггеры. В частности, в атаках с использованием бэкдора Ketrican в 2017 году злоумышленники применили утилиты NetSess, NetE, ProcDump, PsExec и Get-PassHashes.

Темы:ПреступленияAPT-группыбэкдорыКиберугрозы
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...