Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Группировка APT31 атакует российский топливно-энергетический комплекс и СМИ

08/08/22

hack148-1

В апреле 2022 года специалисты PT Expert Security Center компании Positive Technologies в ходе ежедневного мониторинга угроз выявили атаку на ряд российских организаций (СМИ и энергетические компании) с использованием вредоносного документа.Анализ вредоносного ПО, использованного злоумышленниками, показал, что за этими атаками стоит группировка APT31, пишут в Securitylab. В обеих кампаниях зафиксированы идентичные фрагменты кода, получающего информацию о сетевых адаптерах и собирающего данные о зараженной системе, заглушки в документах имели явное сходство, а для управления вредоносным ПО применялись облачные серверы.

«Исследование инструментов показало использование атакующими сервиса Яндекс.Диск в качестве контрольного сервера. APT31 задействовала популярный облачный сервис в том числе для того, чтобы трафик был похож на легитимный. Ранее эта группировка аналогичным образом использовала облачный сервис Dropbox. Подобную технику обхода сетевых средств защиты с помощью легитимного сервиса применяла также группировка TaskMasters в своем ВПО Webdav-O», — рассказал эксперт Positive Technologies Даниил Колосков.

 

Экземпляры изученного ВПО датируются периодом с ноября 2021 года по июнь 2022-го. Все они содержат легитимные файлы, основная задача которых — передача управления вредоносной библиотеке с помощью, например, техники DLL Side-Loading и формирование инициализирующего пакета, который отправляется на контрольный сервер. Значительная часть выявленных легитимных исполняемых файлов является каким-либо компонентом Яндекс.Браузера и подписана действительной цифровой подписью.

В ходе анализа было выявлено две новых разновидности вредоносного ПО, которые назвали YaRAT (так как использует Яндекс.Диск в качестве контрольного сервера плюс обладает функциональностью RAT) и Stealer0x3401 (по константе, используемой при обфускации ключа шифрования). В случае YaRAT в качестве легитимного файла, уязвимого для DLL Side-Loading, использовался инсталлятор Яндекс.Браузера, подписанный действительной цифровой подписью «Яндекса» (либо его portable-версия). Во вредоносном ПО Stealer0x3401 применялся легитимный бинарный файл dot1xtray.exe, подгружающий вредоносную библиотеку msvcr110.dll.

«В 2021 году деятельность APT31 была отмечена нами в Монголии, России, США и других странах, — отметил Даниил.— Атаки, обнаруженные нами в этом году, имеют схожие техники заражения и закрепления, многочисленные пересечения в рамках кода, а также схожие артефакты используемых средств компиляции. Все это позволяет сделать вывод, что исследованная нами группировка по-прежнему функционирует и может продолжить атаки на организации в России».

По словам Даниила Колоскова, вредоносное ПО, использующее в качестве контрольного сервера Яндекс.Диск, крайне сложно детектировать по сетевому взаимодействию: «Фактически это обычный легитимный трафик между клиентом и сервисом. Эти зловреды можно обнаружить лишь в динамике при помощи средств мониторинга, в том числе и антивирусными технологиями."

 

Темы:Positive TechnologiesПреступленияAPT-группы
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...