Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Группировка Ke3chang использует бэкдор Okrum для атак на дипломатов

19/07/19

hack42-1Исследователи из компании ESET опубликовали отчет, посвященный деятельности киберпреступной группировки Ke3chang (она же Vixen Panda, Royal APT, Playful Dragon и APT15). Группировка известна кампаниями по кибершпионажу против организаций в нефтедобывающей и военной сфере, правительственных подрядчиков и дипломатических представительств и организаций.

По данным специалистов, первая активность преступников датируется по меньшей мере 2010 годом. Впервые бэкдор Okrum был обнаружен в декабре 2016 года в атаках на организации в Словакии. Наряду с Okrum группировка использовала бэкдоры BS2005 и Ketrican, а также вредоносные программы RoyalDNS.

Okrum представляет собой динамическую библиотеку, для загрузки и установки которой используются два компонента первого этапа. Данные компоненты постоянно дорабатываются злоумышленниками в целях избежать обнаружения.

Okrum поддерживает только базовые команды для скачивания и загрузки данных, выполнения двоичных файлов или запуска shell-команд. Бэкдор также может обновляться до более свежей версии и регулировать время, в течение которого он спит после каждой команды. Имплант Okrum получает права администратора с помощью API ImpersonateLoggedOnUser и собирает такие данные, как имя компьютера, имя пользователя, IP-адрес хоста, значение основного DNS-суффикса, версия ОС, номер сборки и архитектура.

В основном для достижения своих целей злоумышленники вводят команды вручную или могут использовать различные инструменты и программное обеспечение, например, программы для извлечения паролей или кейлоггеры. В частности, в атаках с использованием бэкдора Ketrican в 2017 году злоумышленники применили утилиты NetSess, NetE, ProcDump, PsExec и Get-PassHashes.

Темы:ПреступленияAPT-группыбэкдорыКиберугрозы
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...