17/08/20
Специалисты «Лаборатории Касперского» раскрыли подробности недавних атак китайской киберпреступной группировки CactusPete, в ходе которых хакеры использовали обновленную версию бэкдора Bisonal.
CactusPete, также известная под названиями Karma Panda и Tonto Team, активна с 2013 года. Как правило, ее целью являются военные и дипломатические организации, а также объекты инфраструктуры в Азии и Восточной Европе. Хотя кампании группировки не отличаются высокой техничностью исполнения, они довольно успешны, отметили исследователи.
В ходе новых атак, направленных на военные и финансовые организации в восточной Европе, CactusPete использовала новый вариант бэкдора Bisonal. Специалистам пока не удалось выяснить, как именно злоумышленники инфицировали системы в недавней кампании. В предыдущих атаках CactusPete использовала целевой фишинг с целью эксплуатации неисправленных уязвимостей и проникновения в системы.
Оказавшись на системе, вредонос отправляет на командный сервер злоумышленников различную информацию о сети жертвы, включая имя хоста, IP- и MAC- адрес, версию ОС, время заражения, данные об использовании прокси или виртуальной среды. Функционал бэкдора включает возможность удаленного запуска шелла, незаметного запуска программ, извлечения списка процессов, завершения процессов, загрузки/выгрузки/удаления файлов, извлечения списка драйверов и файлов из определенной папки.
Помимо Bisonal, арсенал группировки включает кастомные версии инструмента Mimikatz и кейлоггеров для кражи учетных данных и повышения привилегий, а также бэкдор DoubleT. Кроме того, специалисты заметили использование вредоноса ShadowPad, что может говорить о наличии внешней поддержки. ShadowPad применялась в атаках на организации в оборонной, энергетической, правительственной, горнодобывающей и телекоммуникационной сферах.
