Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Азиатская группировка Earth Preta доказывает, что вредоносные USB-носители всё ещё действуют

12/09/24

hack26-Sep-12-2024-08-48-18-6772-AM

Хакерская группировка Earth Preta активизировала кампании против правительственных учреждений в Азиатско-Тихоокеанском регионе (АТР). По данным Trend Micro, злоумышленники обновили свои методы атак и использовали новые вредоносные программы, передают Securitylab.

Одним из ключевых инструментов атак стала модификация червя HIUPAN, который распространяется через съемные носители. Червь внедряет основную вредоносную программу PUBLOAD, которая позволяет контролировать зараженные устройства и выполнять команды по сбору данных и их передаче на серверы злоумышленников.

В новой схеме заражения HIUPAN начинает атаку с передачи вредоносных файлов на съемные носители. Как только носитель подключается к новому устройству, червь незаметно заражает его, скрывая свои файлы от пользователя. Особенностью новой версии HIUPAN является упрощенная конфигурация и более легкое управление распространением. Вредоносный код хранится в каталоге ProgramData, что затрудняет обнаружение.

Основной задачей программы PUBLOAD является сбор системной информации и картирование сети (Network Mapping). Вредонос выполняет команды для определения активных процессов, сетевых соединений и конфигурации устройства. Для выполнения этих задач PUBLOAD использует как стандартные утилиты Windows, так и собственные инструменты для эксфильтрации данных.

Кроме червя HIUPAN и программы PUBLOAD, в новой атаке были задействованы два дополнительных инструмента. FDMTP — это простая программа для загрузки вредоносного ПО, которая использует шифрование для обхода антивирусной защиты. PTSOCKET служит для передачи файлов на удаленные сервера, используя многопоточный режим, что ускоряет процесс утечки данных.

Основной целью атакующих является сбор документов различных форматов, в том числе .doc, .xls, .pdf, .ppt. После сбора файлы архивируются с помощью программы RAR и передаются через команду cURL на серверы Earth Preta. Если cURL не используется, для передачи данных применяется PTSOCKET.

Недавние атаки также включали в себя фишинговые кампании. Хакеры отправляли жертвам письма с вредоносными ссылками, которые вели к загрузке загрузчика DOWNBAIT, который доставлял на устройства и исполнял бэкдор PlugX, обеспечивая долгосрочный доступ к системе жертвы.

На основе анализа фишинговых писем и документов-приманок было установлено, что основными целями Earth Preta стали госучреждения и структуры, связанные с обороной, внешней политикой и образованием в странах АТР. В числе пострадавших оказались учреждения из Мьянмы, Филиппин, Вьетнама, Сингапура, Камбоджи и Тайваня.

Earth Preta продолжает совершенствовать свои инструменты и методы атак, что делает их угрозу актуальной для правительственных и корпоративных структур в АТР. Использование съемных носителей для распространения вредоносного ПО, фишинговых писем для начальной загрузки и новых методов эксфильтрации данных указывает на высокую степень адаптивности группы. Специалисты по кибербезопасности должны быть готовы к новым атакам Earth Preta и активно обновлять защитные меры.

Темы:USBПреступленияAPT-группыTrend MicroАзия
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

  • О физиках, лириках и флешках
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Техническая задача защиты флешки сводится к тому, чтобы сделать нелегальное физическое обладание ею бессмысленным. Эта задача решена в защищенной флешке “Секрет Особого Назначения”. Коротко рассмотрим, как.
  • ИИ на службе преступников: чего ждать в ближайшем будущем
    Михаил Кондрашин, технический директор компании Trend Micro в России и СНГ
    Поговорим о будущем киберпреступного применения технологии искусственного интеллекта

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...