Многоуровневая угроза: Анализ атак Stately Taurus
Источник: unit42.paloaltonetworks.com
Недавний анализ киберугроз раскрыл многогранного хакера, связанного с группой Stately Taurus, которая активно атакует организации в Юго-Восточной Азии. Специалисты отмечают использование уникального семейства вредоносных программ, известного как PubLoad, которое представляет собой тип промежуточного вредоносного ПО, устанавливающего связь с сервером управления (C2) для получения дополнительной полезной нагрузки.
Технология и методы атаки
Наблюдения показывают, что Stately Taurus применяет методы дополнительной загрузки библиотек DLL для запуска вредоносного ПО, в частности, полезную нагрузку, идентифицированную как BrMod104.dll, которая относится к семейству PubLoad. Связь с сервером C2 осуществляется через прямое подключение к определенному IP-адресу, где хакеры пытаются замаскировать свои HTTP-запросы под законные обновления операционной системы Windows, что значительно усложняет усилия по обнаружению и смягчению последствий.
Хитроумные тактики
Анализ вредоносного ПО PubLoad выявил его способность скрывать соединения, имитируя законные URL-адреса. Среди особенностей можно отметить:
- Изменение структуры URL-адресов, связанных с обновлениями Windows, чтобы избежать проверки;
- Высокую адаптивность вредоносного ПО, способного подстраиваться под методы обнаружения.
К тому же, исследование выявило совпадения с платформой вредоносных программ Bookworm, что позволяет предположить связь между двумя семействами и указывает на одного и того же хакера. Оба семейства демонстрируют сходство в исполнении и коммуникациях C2, что говорит о постоянном совершенствовании арсенала Stately Taurus.
Историческая преемственность и модулярная структура
Расследование также установило последовательность деятельности Stately Taurus, связав ранее не отмеченные атаки на правительственные организации в регионе. Обнаружены устаревшие версии вредоносного ПО Bookworm с минимальными изменениями по сравнению с предыдущими образцами, что подтверждает настойчивость и изобретательность хакера.
Гибкость вредоносной программы Bookworm подчеркивается её модульной конструкцией, которая позволяет адаптировать и переупаковывать компоненты в соответствии с различными эксплуатационными требованиями.
Меры кибербезопасности
В оперативном контексте меры кибербезопасности имеют решающее значение. Передовые технологии предотвращения угроз, такие как Cortex XDR, предоставляют функции защиты от поведенческих угроз, направленные на предотвращение запуска как известных, так и неизвестных вредоносных программ.
В систему были интегрированы специализированные средства защиты от средств сбора учетных данных и эксплойтов web shell, используемых группировками, такими как Stately Taurus. Кроме того, необходимо отметить возможность обнаружения действий после использования, таких как атаки на основе учетных данных, с помощью поведенческой аналитики.
Выводы и перспективы
Меняющийся ландшафт хакеров, особенно в лице Stately Taurus, подчеркивает необходимость постоянной бдительности и адаптации стратегий обеспечения безопасности. Высокая настойчивость таких игроков, как Stately Taurus, в использовании инструментов, таких как PubLoad и Bookworm, делает необходимым развитие систем безопасности и динамичное реагирование на возникающие угрозы.
Имеющиеся данные указывают на новые разработки в этом семействе вредоносных программ, подчеркивая, что их использование вполне может продолжиться в будущих кампаниях.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
