СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
28.02.2025
#Dev#ИБ#Инфра

Атакующий CL-STA-0049: Бэкдор Squidoor угрожает критическим секторам

Атакующий CL-STA-0049: Бэкдор Squidoor угрожает критическим секторам

Недавний отчет раскрывает серию вредоносных действий, приписываемых предполагаемому китайскому хакеру, известному как CL-STA-0049. С момента начала атак в марте 2023 года, этот хакер нацелился на критически важные сектора, включая правительство, оборону, телекоммуникации, образование и авиацию в Юго-Восточной Азии и Южной Америке.

Тактика и инструменты атак

В центре данной кампании стоит продвинутый бэкдор, получивший название Squidoor (также известный как FinalDraft). Этот инструмент имеет следующие ключевые особенности:

  • Поддержка систем Windows и Linux;
  • Усовершенствованные механизмы связи командования и контроля (C2), повышающие скрытность операций;
  • Использование уязвимостей в серверах Internet Information Services (IIS);
  • Развертывание веб-оболочек в качестве постоянных бэкдоров;
  • Применение инструментария управления Windows (WMI) для маскирования действий.

Особенности бэкдора Squidoor

Бэкдор Squidoor демонстрирует свою многофункциональность благодаря различным методам связи:

  • Десять способов связи для версии Windows;
  • Девять способов связи для версии Linux.

Злоумышленник применил метод «живых» двоичных файлов и сценариев (LOLBAS), используя консольный отладчик Microsoft (cdb.exe), переименованный в fontdrvhost.exe, для выполнения шеллкода.

Методы выполнения атак

Бэкдор использует специальные задачи, такие как создание запланированных заданий в среде Windows, что позволяет ему сохранять свою работоспособность. При каждом запуске Squidoor расшифровывает жестко запрограммированные конфигурации, определяющие его взаимодействие с сервером C2.

Анализ данных и последствия

Обратите внимание на то, что Squidoor подключается к платформе Microsoft identity platform, используя различные улучшенные протоколы связи. Одним из действий является запрос определённых электронных писем через Outlook REST API, что помогает хакерам выполнять свои команды.

Вредоносная программа предоставляет злоумышленникам обширный контроль над зараженными устройствами, включая:

  • Разведку хоста;
  • Выполнение произвольных команд;
  • Запросы к файлам;
  • Эксплуатацию данных;
  • Развертывание полезной нагрузки;
  • Выполнение сценариев PowerShell без прямого вызова исполняемого файла.

Заключение

Наличие рутинных HTTP-запросов GET к жестко запрограммированной странице Pastebin указывает на механизм отслеживания, используемый злоумышленниками для мониторинга своих имплантатов. Эта информация может дать представление о масштабах кампании.

Цель хакера, несмотря на сложность инструментария Squidoor, заключается в первичном закреплении на важных объектах для извлечения конфиденциальных данных. Использование передовых методов затрудняет обнаружение и смягчение последствий атак, что подчеркивает серьезные проблемы в борьбе с данным кластером угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: