Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

APT Hangover нацелилась на правительственные организации в Южной Азии

14/05/20

hangoverВ течение последних 4 месяцев cпециалисты подразделения Unit 42 компании Palo Alto Networks следили за киберпреступной группировкой Hangover (также известной как Neon, Viceroy Tiger, MONSOON), которая использовала вредоносное ПО BackConfig. Жертвами киберпреступников стали правительственные и военные организации в Южной Азии.

BackConfig обладает различными функциями, в том числе возможностью сбора информации о системе и кейлогинга, а также загрузки и выполнения дополнительных полезных нагрузок. Последние версии вредоноса содержат модульные компоненты, облегчающие обновление и повторное использование кода. Как отметили эксперты, преступники также пытаются избежать «песочницы» и других систем автоматического анализа, разделяя вредонос на отдельные компоненты, не вызывающие подозрений.

Заражение системы происходит через документ Microsoft Excel (XLS), доставляемый через скомпрометированные легитимные web-сайты, URL-адреса которых передаются по электронной почте. В документах используется макрос-код на языке Visual Basic for Applications (VBA), который при включении запускает процесс установки нескольких вредоносных компонентов.

Цель вредоносной программы состоит в том, чтобы обеспечить преступникам возможность загружать и выполнять исполняемые файлы, а также загружать и запускать пакетные файлы для запуска команд на целевой системе.

По словам специалистов, образец вредоносного ПО содержит некоторые интересные статические артефакты, в том числе самозаверяющие цифровые сертификаты, используемые для подписи исполняемого файла, предполагающего использование программного обеспечения от компании Foxit Software Incorporated. Неизвестно, почему операторы вредоноса выбрали данную компанию для подражания, но их использование имен файлов и URL-адресов позволяет лучше замаскировать вредоносное ПО.

Практически во всех случаях киберпреступники использовали вредоносные документы, требующие взаимодействия с пользователем, и только один раз за последние несколько месяцев группировка использовала эксплоиты для избежания необходимости выполнения пользователем какого-либо этапа установки.

 
Темы:ПреступленияAPT-группыPalo Alto Networks
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...