×

Китайские киберпреступники атакуют азиатские правительственные учреждения и оборонные организации

Китайские киберпреступники атакуют азиатские правительственные учреждения и оборонные организации

Серию кибератак приписывают группировке Billbug.

В одном из своих последних отчетов ИБ-специалисты Symantec рассказали про группировку Billbug, за деятельностью которой они следят с 2018 года. Одна из последних атак злоумышленников нацелена на компанию, предоставляющую услуги сертификации. По мнению экспертов, так хакеры хотели получить подписи для своего вредоносного ПО, чтобы усложнить обнаружение или расшифровку трафика.

Symantec не смогла выяснить как Billbug получает первоначальный доступ к сетям жертв, но видела доказательства того, что это происходит с помощью эксплуатации известных уязвимостей в популярных приложениях. Как и в других своих кампаниях, Billbug комбинирует инструменты, используемые в системах жертв, различные утилиты и собственные вредоносные программы. Инструментарий хакеров выглядит так:

  • AdFind

  • Winmail

  • WinRAR

  • Ping

  • Tracert

  • Route

  • NBTscan

  • Certutil

  • Port Scanner

Эти инструменты помогают киберпреступникам слиться с обычными процессами и не оставлять после себя подозрительных следов в логах.

Но в арсенале группировки есть и более экзотическое оружие, которое она часто применяет в ходе атак:

  • Stowaway, многоуровневый прокси-инструмент на базе Go;

  • Бэкдор Hannotog позволяет изменять настройки брандмауэра, закрепляться на взломанной машине, загружать зашифрованные данные, выполнять произвольные команды;

  • Бэкдор Sagerunex развертывается с помощью Hannotog и внедряется в процесс "explorer.exe". Затем он записывает логи в локальный временный файл, зашифрованный с помощью алгоритма AES (256-бит). Конфигурация и состояние бэкдора также хранятся локально и шифруются алгоритмом RC4, причем ключи для обоих алгоритмов жестко закодированы во вредоносной программе. Затем Sagerunex подключается к C&C-серверу через HTTPS для отправки списка активных прокси-серверов и файлов, а также получает от операторов полезную нагрузку и shell-команды. Более того, он может выполнять программы и DLL, используя "runexe" и "rundll".

Следы этих инструментов в сетях жертв и вывели Symantec на Billbug, так как хакеры часто использовали их в своих предыдущих операциях.

Похитители заставили москвича отдать пароль от криптокошелька с биткоинами на 261 млн рублей

Неизвестные преступники похитили москвича, вывезли в Подмосковье и угрозами вынудили передать им ключ от кошелька с 250 биткоинами

Путин на совещании с Совбезом обсудил подготовку кадров для обеспечения информационной безопасности

Владимир Путин в режиме видеоконференции провел оперативное совещание с постоянными членами Совета Безопасности.

Вышла Green Linux 21 – антисанкционная ОС для российского рынка

Новый дистрибутив адаптирован именно под российского пользователя и полностью независим от внешних факторов.