СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
21.03.2025
#ИБ#Инфра

Группа Poison Ivy: угроза шпионажа с 2007 года

Группа Poison Ivy: угроза шпионажа с 2007 года

Группа Poison Ivy, также известная как APT-Q-20, ведет свою деятельность с 2007 года, нацеливаясь на правительственные, военные и исследовательские учреждения в материковом Китае. Их методы фишинга, а также использование передовых технологий для кражи разведывательных данных ставят под угрозу безопасность множества организаций.

Методы и тактики атаки

Группа Poison Ivy применяет разнообразные тактики, некоторые из которых включают:

  • Использование фишинга через поддельные электронные письма и веб-сайты.
  • Распространение троянских вложений, маскирующихся под файл filename.pdf.exe.
  • Многоэтапные атаки, начиная с расшифровки встроенных данных с помощью алгоритмов XOR и AES.
  • Удаленное управление и извлечение информации с помощью вредоносных программ.

После развертывания троянец, как правило, получает доступ к возможностям выполнения, что позволяет ему:

  • Отображать области памяти.
  • Загружать ресурсы.
  • Перемещаться по файловым системам в поисках конфиденциальных документов с расширениями: .txt, .doc, .xls, .ppt, .csv, .pdf.

Все собранные данные затем пересылаются на сервер управления (C2), что ставит под угрозу безопасность целевых организаций.

Уязвимости и инфраструктура

Помимо использования фишинга, группа также активно использует общедоступные уязвимости. Основные проблемные области включают:

  • Слабые пароли на маршрутизаторах, камерах и брандмауэрах — это составляет около 30% их атак.
  • Компрометация целевых устройств и создание плацдарма для дальнейшего проникновения в интрасеть.

Несмотря на простоту их методов, постоянная регистрация новых доменов и приобретение серверов указывает на наличие надежной инфраструктуры для проведения фишинговых операций

Рекомендации по усилению кибербезопасности

Учитывая эволюцию методов APT-Q-20 и потенциальный рост их активности на фоне геополитической напряженности, рекомендуется принять следующие меры безопасности:

  • Использовать сложные пароли.
  • Применять антивирусные решения с защитой в режиме реального времени.
  • Регулярно обновлять систему безопасности.
  • Проявлять осторожность при работе с электронной почтой и незнакомыми ссылками.

Бдительность остается ключом к защите конфиденциальной информации от попыток шпионажа, исходящих от APT-Q-20.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: