СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
24.04.2025
#ИБ#Инфра#Облака

Неуловимый хакер UTG-Q-017: угроза для устаревших систем

Неуловимый хакер UTG-Q-017: угроза для устаревших систем

Недавний отчет команды Red Raindrop продемонстрировал возникновение нового киберугрозы, связанной с хакером, известным под именем UTG-Q-017. Этот опытный злоумышленник специализируется на краже секретных данных с использованием быстрого и эффективного метода, что ставит под угрозу как частные компании, так и государственные структуры.

Появление UTG-Q-017

Группа UTG-Q-017 впервые появилась в августе 2024 года и сразу нацелилась на политические предприятия. Атаки этой организации характеризуются:

  • Выполнением шеллкода без использования файлов, что минимизирует риски обнаружения;
  • Быстрой кражей данных, происходящей в течение 3-5 минут после использования целевых приложений;
  • Использованием уязвимости в Google Chrome, специфичной для версии 109.0.5414.120, последней, совместимой с Windows 7.

Цепочка атак и технологии

Согласно отчету, атаки UTG-Q-017 включают использование шеллкода загрузчика, который вводится непосредственно в системную память, позволяя внедрить вредоносную программу под названием Lumma Stealer. Бесфайловый подход предоставляется следующими преимуществами:

  • Работа вредоносного ПО в течение короткого времени — до 1-2 дней;
  • Изменение инфраструктуры управления (C2) с огромным числом IP-адресов и доменных имен.

Организация использует около 500 IP-адресов, связанных с почти 1600 доменными именами. Если учитывать домены, встроенные в Lumma Stealer, общее количество доменов может достигать до 6000, что подчеркивает значительные инвестиции в развитие их атакующих методов.

Стратегия и скрытность

UTG-Q-017 придерживается стратегии одноразового использования C2, что позволяет избегать обнаружения и сохранять высокую эффективность. Загрузчик шеллкода имеет всего 1 КБ и делится на две функции:

  • Извлечение полезной нагрузки с удаленного сервера;
  • Создание процессов и ввод последующего шеллкода.

Проблемы безопасности и рекомендации

Несмотря на высокую скрытность действий UTG-Q-017, существует вероятность обнаружения с помощью усовершенствованных механизмов предотвращения угроз. Тем не менее, количество случаев обнаружения остается ограниченным. Жертвами кибератак чаще всего становятся предприятия и государственные структуры, особенно в Китае.

Учитывая текущие угрозы, эксперты призывают к принятию следующих мер безопасности:

  • Усиление облачных проверок для выявления неизвестных угроз;
  • Постоянное обновление и мониторинг безопасности в уязвимых средах.

В целом, группа UTG-Q-017 exemplifies современных хакеров, эффективно использующих уязвимости устаревших систем. Это подчеркивает необходимость постоянного обновления средств защиты и мониторинга угроз для обеспечения безопасности IT-инфраструктуры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: