Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

APT-группа ведёт кибершпионаж против компаний в Восточной Азии

30/08/24

hack204-2

Специалисты по кибербезопасности из Центра киберразведки QiAnXin сообщили об обнаружении новой угрозы со стороны группы APT-Q-12, известной также под названием «Pseudo Hunter». Эта кибершпионская группа, имеющая корни в Северо-Восточной Азии, нацелена на государства и компании в Восточной Азии, включая Китай, Северную и Южную Корею, а также Японию.

Впервые о деятельности группы стало известно в 2021 году, когда эксперты QiAnXin опубликовали соответствующий технический отчёт. Однако корни её атак прослеживаются до 2017 года, когда было выявлено пересечение с действиями другой известной группы Darkhotel, пишет Securitylab.

После 2019 года активность, связанная с группой Darkhotel, начала снижаться, что привело к появлению новых кибершпионских групп, таких как APT-Q-11, APT-Q-12, APT-Q-14 и другие. Эти группы, используя различные тактики и методы, сосредоточились на атаках на правительственные и корпоративные цели, причём, как выяснили специалисты, многие из них являются продолжением или ответвлением деятельности Darkhotel.

Основным методом шпионажа APT-групп, включая APT-Q-12, является использование сложных плагинов, которые позволяют злоумышленникам быстро и эффективно извлекать нужные данные из целевых систем. Например, в одной из операций, получившей название «ShadowTiger», использовались плагины для сканирования файловой структуры и загрузки документов на серверы злоумышленников.

Особое внимание APT-Q-12 уделяет сбору информации о поведении жертв, используя продуманные методы фишинга и внедрение шпионских кодов в популярные почтовые и офисные приложения. Группа разрабатывает и внедряет различные виды вредоносных программ, адаптированных под конкретные платформы, будь то настольные компьютеры, мобильные устройства или корпоративные серверы.

Одним из наиболее значимых открытий со стороны киберпреступников стало обнаружение Zero-day уязвимостей в почтовых клиентах на платформе Windows. Так, APT-Q-12 использует сложные методы атак, которые включают в себя исполнение вредоносного кода через уязвимости в браузерах и почтовых приложениях, что позволяет им проникать в системы и устанавливать контроль.

В ходе анализа было выявлено несколько видов вредоносных программ, среди которых особо выделяется троян, который устанавливается в систему через цепочку действий с использованием скриптов и специальных команд. Этот троян предназначен для захвата и передачи конфиденциальной информации, что делает его мощным инструментом в руках злоумышленников.

APT-Q-12 также использует плагины для захвата ввода с клавиатуры и сбора информации о действиях пользователей, что даёт возможность отслеживать их повседневную активность и выявлять ценные данные, такие как пароли и другие учётные данные. Затем эти данные шифруются и передаются на серверы злоумышленников для дальнейшего анализа и использования.

Для защиты от таких угроз специалисты рекомендуют использовать современные EDR-системы, которые могут эффективно обнаруживать и предотвращать атаки на ранних этапах. Современные ИБ-решения, основанные на данных киберразведки, становятся всё более необходимыми в условиях набирающих обороты угроз в регионе Восточной Азии.

Темы:ПреступленияAPT-группыкибершпионажDarkHotelАзияQi An Xin
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...