СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
14.02.2025
#ИБ#Облака

Кампания REF7707: рекламные тактики кибершпионов против южноамериканских МИД

Кампания REF7707: рекламные тактики кибершпионов против южноамериканских МИД

Источник: www.elastic.co

Недавнее расследование в области кибербезопасности выявило кампанию под названием REF7707, целевой аудиторией которой стало министерство иностранных дел Южной Америки. Используя сложные методы и новейшие вредоносные программы, злоумышленники продемонстрировали как высокую степень технической сложности, так и низкий уровень операционной безопасности, что привело к раскрытию аспектов их инфраструктуры.

Технические аспекты вредоносного ПО

Кампания REF7707 развертывает несколько семейств вредоносных программ, таких как:

  • FINALDRAFT — инструмент удалённого администрирования, который функционирует как в системах Windows, так и в Linux.
  • GUIDLOADER — отвечает за загрузку и выполнение зашифрованного шеллкода.
  • PATHLOADER — вариант, известный своим особым соглашением об именовании файлов.

FINALDRAFT, в частности, использует для управления домен graph.microsoft.com, что делает его сложнее для обнаружения среди обычного организационного трафика. Кроме того, метод эксфильтрации данных через облачные сервисы затрудняет выявление активности злоумышленников традиционными средствами безопасности.

Тактики и стратегии уклонения

Злоумышленники использовали различные техники, чтобы скрыть свои намерения:

  • Применение встроенного приложения Windows, certutil, для загрузки вредоносных файлов.
  • Использование файла fontdrvhost.exe — переименованного отладчика Windows — для внедрения шеллкода.

Данная стратегия демонстрирует сочетание обычной работы системы с вредоносными действиями, что представляет собой новую форму уклонения.

Непрерывность вторжения и использование облачных сервисов

Шпионская активность поддерживалась с помощью запланированной задачи системного уровня, что обеспечивало непрерывность вторжения. Анализ показал, что злоумышленники также взаимодействовали с облачными сервисами, такими как Google Firebase и Pastebin, для доставки полезной нагрузки.

Эти действия представляют собой серьезные проблемы для систем безопасности, которые в основном полагаются на анализ сетевого трафика.

Выводы

Кампания REF7707 демонстрирует высокую степень сложности методов проникновения, использующих новые вредоносные программы и особенности операционных систем для сокрытия злонамеренных намерений. Зависимость от законных служб командования и контроля, в сочетании с передовыми тактиками уклонения, подчеркивает необходимость адаптивных мер безопасности, способных выявлять такие тонкие угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: