Не гибкий график: Group-IB выявила вредоносные кампании APT41 с новыми инструментами и тактикой

Дата: 18.08.2022. Автор: Group IB. Категории: Новости по информационной безопасности, Отчеты и исследования по информационной безопасности
Не гибкий график: Group-IB выявила вредоносные кампании APT41 с новыми инструментами и тактикой

Group-IB, один из лидеров в сфере кибербезопасности, опубликовала новое исследование, посвященное активности прогосударственной хакерской группы APT41. По оценкам Group-IB Threat Intelligence за 2021 год атакующие смогли получить доступ как минимум в 13 организаций по всему миру. В рамках вредоносных кампаний, кроме использования интересных техник удалось обнаружить артефакты оставленные атакующими, которые указывают на их происхождение. Отдельное внимание в отчете уделено анализу “рабочих дней” группы.

Прогосударственная хакерская группа APT41 (ARIUM, Winnti, LEAD, WICKED SPIDER, WICKED PANDA, Blackfly, Suckfly, Winnti Umbrella, Double Dragon), целями атак которой являются одновременно кибершпионаж и финансовая выгода, активна по меньшей мере с 2007 года.  Аналитики Group-IB Threat Intelligence выделили 4 вредоносных кампании APT41, проведенных в 2021 году, и географически охвативших США, Тайвань, Индию, Вьетнам и Китай. Целевыми индустриями стали государственный сектор, производственные, здравоохранительные, логистические, гостиничные, образовательные организации, а также медиа и авиакомпания. Согласно данным Group-IB, подтвержденных жертв APT41 за 2021 было 13, однако реальное их число может быть значительно большим.

“Согласно проведенному исследованию, 2021 год был достаточно интенсивным для атакующих из APT41, — отмечает аналитик Threat Intelligence компании Group-IB. — В результате анализа обнаруженных нами инструментов и индикаторов компрометации, мы смогли выявить вредоносную активность и предупредить коммерческие и государственные организации о готовящихся или уже совершенных атаках APT41 для того, чтобы они могли предпринять необходимые шаги по защите или поиску следов компрометации своих сетей. Суммарно за 2021 год мы проактивно отправили более 80 таких уведомлений, связанных с APT41”. 

Из инструментов разведки в исследованных кампаниях группа применяла утилиты Acunetix, Nmap, SQLmap, OneForAll, subdomain3, subDomainsBrute, Sublist3r. Традиционно в качестве начального вектора проникновения атакующим из APT41 приписывают фишинг, эксплуатацию различных уязвимостей, в том числе, и Proxylogon, watering hole или атаки на цепочки поставок. Однако в наблюдаемых Group-IB кампаниях злоумышленники проникали в целевые системы используя SQL-инъекции для веб-сайтов с помощью общедоступного инструмента SQLmap. В одних организациях группа получала доступ к командной оболочке целевого сервера, в других — доступ к базам данных с информацией об учетных записях, спискам сотрудников, а также с паролями в чистом и хэшированном виде. В результате таких SQL-инъекций атакующим удалось проникнуть в сети жертв в половине случаев — 43 из 86 веб-сайтов оказались уязвимы.

Cobalt Strike: old but gold

Как удалось выяснить Group-IB, для загрузки и выполнения вредоносного кода на зараженных устройствах, злоумышленники использовали не встречавшийся исследователями ранее уникальный способ деления полезной нагрузки, в качестве которой применялся кастомизированный инструмент Cobalt Strike Beacon. После компиляции его кодировали в Base64, а затем разбивали ровно по 775 символов и добавляли в текстовый файл определенной командой. Чтобы записать всю полезную нагрузку в файл, в одном из наблюдаемых Group-IB случаев, злоумышленникам понадобилось 154 итерации на это действие. Такой же нестандартный способ деления полезной нагрузки был обнаружен и в сети другой организации, где злоумышленники решили разделить код на блоки по 1024 символа. На то, чтобы записать полезную нагрузку полностью, не привлекая к себе внимания, им потребовалось 128 итераций.

Исследователи Group-IB подчеркивают, что некоторые серверы использовались APT41 исключительно для размещения на них фреймворка Cobalt Strike, другие — только для активного сканирования сети через утилиту Acunetix. Однако были обнаружены серверы, на которых выполнялись обе эти задачи. “Несмотря на защиту облачного сервиса CloudFlare, скрывающего реальные адреса серверов, система Threat Intelligence выявила бэкенды серверов APT41, что позволяет нам следить за вредоносной инфраструктурой атакующих и оперативно блокировать их сервера”, — добавляют в Group-IB.

Важной находкой работы Cobalt Strike, обнаруженной Group-IB, является использование лисенеров с кастомными SSL-сертификатами. Они нужны для принятия подключения от полезной нагрузки, для связи ботов с командным центром. В данном случае APT41 использовали уникальные SSL-сертификаты, которые мимикрируют под “Microsoft”, “Facebook” и “CloudFlare”. Как утверждают в Group-IB, серверы с такими сертификатам начали появляться с начала 2020 года, и их число на конец 2021 года составляло 106. Это значит, что исследователями было замечено более 100 серверов Cobalt Strike, которые используются только этой группой атакующих. Большая часть из них уже не активна. Все данные об инфраструктуре атакующих и индикаторы компрометации автоматически отправляются в систему Group-IB Managed XDR, как части единой платформе Unified Risk Platform, что позволяет детектировать угрозы и обнаруживать кибератаки на ранней стадии. 

Идем “по графику”

Исследуя вредоносные кампании APT41, относящиеся к 2021 году, аналитиками Group-IB Threat Intelligence удалось выровнять все временные метки атакующих под UTC+8. Это позволило установить, что основное время работы группы начинается с 9 часов утра и заканчивается ближе к 7 часам вечера. В часовом поясе атакующих находится ряд стран, включая Китай, Малайзию, Сингапур, частично Россию и Австралию.

В качестве элементов атрибуции в отчете приводится список преимущественно китайских IP-адресов для доступа к Cobalt Strike серверам. Также отмечается использование китайских символов на рабочих станциях, с которых проводились атаки. Интересно, что исследователи заметили применение специфического формата Pinyin для названия директорий (Pinyin — это запись звуков китайского языка на латинице).

О компании:

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. Штаб-квартира регионального подразделения Group-IB (Россия и СНГ) расположена в Москве. Компания является резидентом «Сколково» и  Иннополиса.
Международные Центры исследования киберугроз Group-IB находятся в Азиатско-Тихоокеанском регионе (Сингапур), на Ближнем Востоке (Дубай), в Европе (Амстердам).
В основе технологического лидерства Group-IB — 19-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB. Решения Group-IB признаны ведущими аналитическими агентствами Forrester, Gartner, IDC и только в нынешнем году получили 8 золотых наград в рамках Cybersecurity Excellence Awards.

О технологиях Group-IB

Unified Risk Platform — единая платформа решений и сервисов Group-IB для защиты от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Платформа объединяет возможности защиты внутренней инфраструктуры компании, ее внешнего периметра, ее интеллектуальной собственности (бренда), а также защиту предоставляемых ею сервисов от мошенничества, направленного на ее клиентов. 
В Group-IB Unified Risk Platform входят:
Group-IB Threat Intelligence — это комплексное решение для исследования и атрибуции кибератак, содержащее структурированные данные о тактиках, инструментах и активности злоумышленников с возможностью персонализации под конкретную отрасль или компанию. Group-IB TI позволяет выстроить проактивную систему ИБ, ориентированную на защиту активов компании с низким количеством ложных инцидентов.
Решение Group-IB Managed XDR для проактивного поиска и защиты от сложных и неизвестных киберугроз позволяет организациям реагировать на угрозы на 20% быстрее. Разработка уже получила признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader».
Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Group-IB Fraud Protection получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Выявляют и предотвращают на 20% больше попыток финансового мошенничества.
Решение Digital Risk Protection снижает цифровые риски для брендов и защищает интеллектуальную собственность от мошенничества, пиратства, утечек данных, предоставляя лучшую в своем классе защиту. Согласно оценкам аналитиков, Group-IB DRP обнаруживает пиратский контент в среднем за 30 минут и устраняет 80% нарушений в течение 7 дней. Решение получило престижную премию Innovation Excellence от глобального консалтингового агентство Frost & Sullivan.
Attack Surface Management отслеживает забытые компанией ИТ-активы, незащищенные участки инфраструктуры, некорректно настроенные элементы сети, которые могут использовать атакующие. В рамках Unified Risk Platform решение позволяет увидеть всю поверхность атаки с точки зрения злоумышленника, чтобы оперативно и превентивно укрепить слабые места.
Business Email Protection защищает корпоративную электронную почту от сложных атак. Решение отслеживает индикаторы компрометации, выявляет поведенческие маркеры вредоносной активности и извлекает артефакты для определения опасных писем прежде, чем они будут доставлены.

Об авторе Group IB

С 2003 года работает в сфере компьютерной криминалистики, консалтинга и аудита систем информационной безопасности, обеспечивая защиту крупнейших российских и зарубежных компаний от финансовых и репутационных потерь.
Читать все записи автора Group IB

Добавить комментарий

Ваш адрес email не будет опубликован.