Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Группа APT-C-09 использует вредоносные ссылки в документах для атак на Пакистан

31/07/24

hack119-Jul-31-2024-09-15-27-7409-AM

Согласно отчету 360 Advanced Threat Research Institute, группировка APT-C-09 проводит непрекращающиеся атаки на Пакистан с использованием нового вредоносного ПО.

Для проведения атак группа использует файлы-приманки, замаскированные в ссылках на документы, пишет Securitylab. Один из таких файлов имеет название «Quran.pdf.lnk» и при открытии запускает PowerShell-скрипты. Команды загружают поддельные документы и вредоносные компоненты с удалённых серверов, а также создают задачи для обеспечения долговременного присутствия на заражённой системе.

Основной вредоносный компонент – файл «Winver.exe», который написан на Golang. Файл имеет цифровой сертификат, что затрудняет его обнаружение и блокировку антивирусными программами. При запуске Winver.exe собирает информацию о системе, пользователе и других параметрах, а затем передает данные на C2-сервер по зашифрованным каналам связи.

Кроме того, были выявлены атаки с использованием Quasar RAT — ещё одного вредоносного инструмента, который ранее неоднократно применялся APT-C-09. Троян позволяет выполнять широкий спектр удалённых команд, включая создание скриншотов, управление файлами и процессами на заражённой системе.

Новые угрозы и продолжающееся совершенствование методов

Данный анализ показывает, что APT-C-09 активно развивает и совершенствует свои методы. Группа не ограничивается старыми инструментами, а постоянно внедряет новые технологии для обхода систем защиты и достижения своих целей.

Одним из характерных признаков атак APT-C-09 является использование сертификатов Let's Encrypt для шифрования связи с сервером управления, а также применение алгоритмов шифрования RC4 и Base64, которые также использовались в предыдущих атаках группы.

В связи с продолжающимися атаками, важно усилить меры безопасности и соблюдать осторожность при работе с неизвестными файлами и ссылками. Пользователям рекомендуется избегать открытия подозрительных вложений и ссылок, а также регулярно обновлять антивирусное программное обеспечение и системы безопасности.

Темы:ПреступленияAPT-группыPowershellАзия
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...