APT-Q-27: методы и угрозы кибератак в Юго-Восточной Азии

The Golden Eye Dog gang, также известная как APT-Q-27, представляет собой активную и хорошо подготовленную киберпреступную группировку, специализирующуюся на атаках в сфере азартных игр и продвижения собак. Основная география их деятельности — страны Юго-Восточной Азии и зарубежные китайские общины. Их методы поражают сложностью и уровнем скрытности, что делает эту группу одной из самых опасных сегодня.

Методы атаки и используемое вредоносное ПО

Golden Eye Dog оперирует в основном через распространение вредоносного программного обеспечения, маскирующегося под легитимные утилиты, такие как ToDesk и Kuailian VPN. Главным каналом внедрения служат атаки типа water hole — заражение сайтов, часто посещаемых целевой аудиторией. Это позволяет добыть доверие пользователей и незаметно установить вредоносное ПО.

• Группа размещает вредоносные установочные пакеты на веб-сайтах, оптимизированных под поисковые системы (SEO).
• Пользователь скачивает поддельный установщик ToDesk, который одновременно устанавливает и подлинное ПО, и вредоносный троян Winos 4.0.
• Пакет вредоносного ПО написан с использованием нескольких языков программирования — .NET, C++, Go и Delphi, что существенно увеличивает сложность анализа и обнаружения.

Технические особенности вредоносных компонентов

Вредоносный файл build.exe, составленный на C++ и превышающий 30 МБ, запускается параллельно с ToDesk. Он устанавливает сетевое соединение с сервером управления (C2) — 120.89.71.226 и пользуется мощными возможностями PowerShell и командной строки для запуска дальнейших вредоносных команд.

Высокотехнологичные возможности программы включают:

• Создание подпроцессов с именами, имитирующими системные (svchost.exe).
• Использование множества вредоносных портов для маскировки сетевой активности.
• Скрытие вредоносного кода в нормативных структурах кода с помощью файла instect.exe, усложняющего статический анализ.
• Реализацию сложных функций, препятствующих обнаружению и удалению вредоносного ПО.
• Создание уникальных идентификаторов мьютекса для сохранения постоянства (persistence) в системе жертвы.

Trojan «Silver Fox» и дополнительные опасности

Отдельно стоит выделить троянскую программу Silver Fox, которую Golden Eye Dog внедряет для скрытой кражи данных. В этом ПО используются:

• Бэкдоры, основанные на шелл-коде.
• Сложные средства противодействия обнаружению (anti-detection techniques).

В совокупности всё это позволяет преступникам оперативно и скрытно управлять заражёнными системами.

Цель и стратегия группировки

Основная тактика Golden Eye Dog заключается в создании поддельных страниц загрузки, максимально оптимизированных для поисковых систем. Это ведёт к высокому уровню доверия и большому числу загрузок вредоносных установщиков легитимных программ.

Области вредоносной активности включают:

• Удалённое управление заражёнными системами (remote control).
• Добычу криптовалют.
• DDoS-атаки.
• Манипуляции с трафиком и кражу данных.

Рекомендации по защите пользователей

Эксперты рекомендуют проявлять настороженность и следовать базовым правилам кибербезопасности:

• Не скачивайте файлы из сомнительных или неизвестных источников.
• Избегайте перехода по подозрительным ссылкам и проявляйте осторожность при получении вложений и сообщений от неизвестных отправителей.
• Регулярно обновляйте операционные системы и установленное программное обеспечение.
• Периодически создавайте резервные копии важных данных.
• Будьте внимательны к признакам фишинговых атак и социальной инженерии.

Golden Eye Dog gang — это пример того, как продвинутые киберпреступники способны адаптироваться и использовать разнообразные технологии для достижения своих целей. Только с постоянной бдительностью и ответственным подходом к информационной безопасности можно минимизировать риски, связанные с подобными угрозами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.