Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Эксперты связали APT41 с отдельными фишинговыми кибератаками

08/10/21

hack35-3Специалисты в области кибербезопасности из BlackBerry Research and Intelligence связали китайскую киберпреступную группировку APT41 (также известную как Barium или Winnti) с, казалось бы, разрозненными вредоносными кампаниями с использованием вредоносного ПО.

Эксперты сопоставили части сетевой инфраструктуры группировки с фишинговыми атаками на пользователей в Индии, в ходе которых использовались приманки на тему COVID-19.

APT41 еще с 2012 года осуществляет спонсируемую государством Китая шпионскую деятельность в сочетании с финансово мотивированными операциями для личной выгоды. Преступники атаковали сферу здравоохранения, высоких технологий и телекоммуникаций для обеспечения долгосрочного доступа и облегчения кражи интеллектуальной собственности. Группировка известна кибератаками, направленными на кражу исходного кода и цифровых сертификатов, манипулирование виртуальной валютой и установку программ-вымогателей, а также компрометацию цепочки поставок программного обеспечения путем внедрения вредоносного кода в легитимные файлы.

Исследование BlackBerry основано на предыдущих выводах Mandiant в марте 2020 года, в которых подробно описывается «глобальная кампания взломов», организованная APT41 путем эксплуатации ряда уязвимостей в устройствах Cisco и Citrix. Преступники устанавливали полезные нагрузки следующего этапа, которые впоследствии загружали маячки Cobalt Strike на взломанные системы. Загрузчик отличался использованием гибкого профиля C&C-сервера, позволявший маячкам объединять свои сетевые коммуникации с удаленным сервером в легитимный трафик, исходящий из сети жертвы.

BlackBerry, обнаружившая аналогичный профиль C&C-сервера, загруженный на GitHub 29 марта китайским исследователем безопасности под псевдонимом 1135, использовала информацию о конфигурации метаданных для идентификации нового кластера доменов, связанных с APT41, которые пытаются замаскировать трафик маячков под легитимный трафик с сайтов Microsoft.

Результаты последующего анализа URL-адресов выявили три вредоносных PDF-файла, которые были загружены на один из вышеупомянутых доменов. Документы предположительно использовались в фишинговых письмах в качестве рекомендаций по COVID-19, выпущенными правительством Индии, или уведомлений о последних законах о подоходном налоге.

Вложения представляли собой файлы .LNK или .ZIP, которые при открытии отображениют жертве PDF-документ, в то время как в фоновом режиме цепочка заражения приводит к выполнению маячков Cobalt Strike. Хотя атаки с использованием аналогичных фишинговых приманок, обнаруженных в сентябре 2020 года, были связаны с Evilnum, эксперты заявили, что индикаторы взлома указывают на кампанию APT41.

Темы:ПреступленияAPT-группыфишингBlackberry Research
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Примеры фишинга через электронную почту: Как распознать фишинговое письмо
    Антон Тихонов, Технический менеджер направления McAfee
    Готовая инструкция, как распознать фишинговое письмо: простые советы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...