APT-группа CactusPete работает с новой версией бэкдора Bisonal

Дата: 01.09.2020. Автор: Артем П. Категории: Отчеты и исследования по информационной безопасности

Киберпреступная группировка CactusPete, известная своей хакерской деятельностью с 2013 г., работает с новой версией бэкдора Bisonal. «Лаборатория Касперского» несколько лет расследует и формирует отчеты о деятельности этой APT-группы.

CactusPeteкитайская киберпреступная группа, которая работает в сфере кибершпионажа. Специалисты «Лаборатории Касперского» ранее отмечали, что хакеры группировки располагают не самыми современными и передовыми техническими возможностями. Но в последние годы, наверное, получив поддержку со стороны крупных инвесторов и организаций, группировка смогла получить доступ к максимально сложному коду, в частности к Shadow Pad, который активно использовался группой в 2020 г.

Деятельность группы впервые была зафиксирована в 2013 г., хотя некоторые специализированные издания Южной Корея говорят о том, что группировка действует с 2009 г. По традиции, группа CactusPete в качестве жертв обычно выбирает только организации из США, Тайваня, Японии, Южной Кореи. Но, судя по проведенным в 2018-19 гг. кампаниям, становится понятно, что интересы группы CactusPete постепенно смещаются на остальные страны Азии и государства Восточной Европы.

«Лаборатория Касперского» сейчас относит киберпреступную группу CactusPete к категории «продвинутых» группировок, особенно после выпуска нового бэкдора Bisonal в феврале 2020 г., с помощью которого киберпреступные атаки были проведены на военные и финансовые компании восточноевропейских стран.

Эксперты по информационной безопасности «Лаборатории Касперского» с использованием инструмента Kaspersky Threat Attribution Engine смогли найти около 300 почти идентичных семплов, которые появились с марта 2019 г. по апрель 2020 г. Это свидетельствует о высоких темпах разработки в CactusPete – около 20 образцов ежемесячно.

Техника распространения вредоносного программного обеспечения, которая используется группировкой CactusPete в рамках новых хакерских кампаний, пока остается нераспознанной. Судя по прошлым годам, может применяться стандартный вариант: доставка вредоноса с использованием целевого фишинга. Нежелательные прикрепленные файлы к email-письмам не имеют 0-day эксплойтов, но вместо этого применяются недавно найденные и устраненные уязвимости, различные хитрые методики, с помощью которых выполняется доставка полезной нагрузки на устройство жертвы.

С полной версией отчета «Лаборатории Касперского» об APT-группе CactusPete можно ознакомиться по следующей ссылке.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

1 + 18 =