Раскрытие угроз: деятельность группы FishMonger и ее шпионские атаки
Источник: www.welivesecurity.com
Исследователи кибербезопасности компании ESET представили новый отчет о деятельности группы APT FishMonger, связанной с китайским подрядчиком ISOON, который базируется в Чэнду. Группа FishMonger была причастна к шпионским кампаниям, нацеленных на правительства, НПО и аналитические центры, выявленным в ходе инициативы «Операция Фишмедли», начатой в 2022 году.
Обвинения и шпионские атаки
5 марта 2025 года Министерство юстиции США обнародовало обвинительный акт против нескольких сотрудников ISOON. Им были приписаны преступления, связанные с шпионскими действиями, которые продолжались с 2016 по 2023 год.
Используемые вредоносные программы
В ходе атак команда FishMonger применяла различные вредоносные программы, включая:
- ShadowPad — модульный бэкдор, характерный для китайских APT-групп;
- SodaMaster — сохраняющий свою функциональность на протяжении времени бэкдор;
- Spyder — инструмент, позволяющий внедрять шеллкод в существующие процессы.
Особое внимание следует уделить тому, как злоумышленники использовали ShadowPad. В одной из атак была взломана учетная запись домена с высокими привилегиями, что позволило внедрить имплантат через Impacket. Это дало возможность перемещаться по сети и осуществлять дальнейшие атаки.
Стратегическое использование промежуточных серверов
Распространение вредоносного ПО происходило через различные методы, включая:
- Использование PowerShell для поиска загрузчика ShadowPad;
- Вредоносные загрузки, инициированные в браузере Firefox;
- Доступ к загрузчику через взломанные веб-серверы.
Это свидетельствует о стратегическом подходе убийц к использованию промежуточных серверов для дальнейшего заражения.
Сложная инфраструктура и эволюция угроз
Используемый вербовщик ShadowPad был замаскирован с помощью инструмента ScatterBee, а связь с серверами управления (C&C) указывает на сложную инфраструктуру злоумышленников. Кроме того, Spyder, поставляемый в паре с ShadowPad, всего лишь усиливает исторический контекст этих угроз. Сообщается, что серверы C&C для Spyder были связаны с предыдущими знакомыми вредоносными программами.
Другая вредоносная программа, SodaMaster, продемонстрировала, что функциональность некоторых бэкдоров не изменилась, даже несмотря на продолжение их активного использования. Кроме того, была обнаружена новая вредоносная программа под названием RPipeCommander, которая, по-видимому, была представлена вместе с Spyder и указывает на продолжающуюся эволюцию инструментов FishMonger.
Этот имплантат функционирует как обратная оболочка с управлением потоками ввода-вывода, что свидетельствует о сложной организационной структуре FishMonger и их постоянном расширении возможностями.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
