СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
03.04.2025
#ИБ#Инфра

APT-C-47: Эволюция атак через ClickOnce и трояны

APT-C-47: Эволюция атак через ClickOnce и трояны

Хакерская группа APT-C-47, также известная как Wangsai, продолжает эволюционировать в своей методологии атак, начиная с 2018 года. Основная деятельность этой группы сосредоточена на секторах, связанных с интеллектуальной собственностью, и характеризуется использованием технологии ClickOnce для доставки вредоносной нагрузки.

Методология атак

Согласно последним наблюдениям, APT-C-47 применила ClickOnce для развертывания атак с использованием комбинации модулей C# и C++. Этот процесс начинается с фишинговых писем типа harpoon, которые обманывают жертв на установку файлов с расширением .appref-ms. Эти файлы инициируют загрузку компонентов атаки, что делает их особенно опасными.

  • Первый набор компонентов отвечает за:
    • Копирование второго набора в заранее определенный каталог.
    • Сбор информации о хосте.
  • Второй уровень атаки включает:
    • Компонент, маскирующийся под законный файл BrowserMgr.exe, подписанный как «Opera Norway AS».
    • Вредоносную нагрузку opera_elf.dll, взаимодействующую с троянцем удаленного управления.

Троян с удаленным управлением

После выполнения opera_elf.dll запускается троянская программа с MD5 хэшем 2fcdcf63ed3e4bfb94ae9c6b28feb744. Эта программа устанавливает контрольный мьютекс для предотвращения одновременного запуска нескольких экземпляров, подключается к серверу управления (C2) и выполняет команды на основе собранной информации.

Эволюция тактики

Методология атак APT-C-47 включает в себя несколько характерных особенностей:

  • Использование ClickOnce для доставки вредоносной нагрузки.
  • Внедрение вредоносных данных в изображения с использованием XOR-дешифрования с постоянным ключом 9D88B3FA.

Эти данные указывают на развитие тактики группы, что позволяет им обходить современные меры безопасности, используя как устоявшиеся, так и новые методы, включая загрузчик C++ наряду с ранее использовавшимся загрузчиком C#.

Выводы и предостережения

Инциденты, связанные с APT-C-47, подчеркивают необходимость повышенной бдительности в отношении угроз, исходящих от данной группы. Продолжающаяся адаптация методов киберопераций делает необходимые меры защиты более актуальными и важными.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: