СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
19.03.2025
#ИБ#Инфра

Группы APT и их использование сервиса Cryptor как средства атаки

Группы APT и их использование сервиса Cryptor как средства атаки

Источник: www.ptsecurity.com

Недавний анализ криптографических средств и инструментов Cryptor как сервиса (CaaS) выявил их широкое использование несколькими хакерскими группами, такими как Phasseshifters, Blind Eagle и TA558. Этот сервис, работающий по модели подписки, предоставляет злоумышленникам возможность шифровать и упаковывать файлы, что существенно упрощает реализацию вредоносных действий.

Основные угрозы и направления атак

Злоумышленники, использующие этот сервис, нацелены на шпионаж и осуществляют целенаправленные атаки на организации в России, Беларуси и государственных учреждениях Польши. Среди хакерских групп выделяются:

  • TA558: Финансово мотивированная киберпреступная группа, ответственная за атаки на гостиничный и туристический сектора в Латинской Америке, с расширением на Северную Америку и Западную Европу с момента своего появления в 2018 году.
  • Blind Eagle: Связана с APT-C-36, проводит целенаправленные операции против государственных структур Колумбии и крупных промышленных предприятий в Латинской Америке, часто используя фидонигные письма для доставки вредоносных программ, таких как Remcos и Quasarrat.

Методы и средства атак

Исследование также выявило особенности интерфейса Crypters and Tools, с помощью которого пользователи могут определять URL-адреса для генерации вредоносного загрузчика. Это включает:

  • Кодирование команды в Base64.
  • Использование PowerShell для выполнения закодированных команд.
  • Доставку основной полезной нагрузки под видом легитимных процессов в скомпрометированной системе.

Загрузчик, известный как Ande Loader, использует методы на C# и маскируется в файлах изображений для распространения такими группами, как Blind Eagle и Phasseshifters.

Инфраструктура и база данных

Исследователи также изучили инфраструктуру шифровальщиков и инструментов, обнаружив использование базы данных Firebase для аутентификации пользователей и управления данными. Сервис распространяет вредоносные файлы под управлением определенных IP-адресов, связанных с серверами XAMPP, а его экосистема включает ряд вредоносных ресурсов, доступных по различным URL-адресам.

Общее количество вредоносных файлов и будущие угрозы

В ходе анализа было задокументировано около 3000 вредоносных исполняемых файлов, связанных с шифровальщиками и инструментами, с акцентом на атаки, сосредоточенные в США, Западной Европе и Латинской Америке в 2023-2024 годах. Доступность и низкая стоимость таких инструментов, вероятно, будут способствовать росту числа хакеров, использующих динамику рынка для получения злонамеренной выгоды.

Цели исследования

Основная цель текущего исследования заключается в выявлении дополнительных связей между группами APT, использующими CaaS, и углублении понимания их операционных методологий.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: