СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
21.04.2025
#Dev#ИБ#Инфра

Шпионская группа Billbug: новая угроза кибербезопасности в Юго-Восточной Азии

Шпионская группа Billbug: новая угроза кибербезопасности в Юго-Восточной Азии

Шпионская группа Billbug, также известная как Lotus Blossom или Bronze Elgin, с августа 2024 по февраль 2025 года провела серию целевых атак против различных организаций в одной из стран Юго-Восточной Азии. Под прицелом оказались как государственные структуры, так и частные компании, что указывает на растущую угрозу со стороны данной киберпреступной группировки.

Цели атак и масштабы

Среди пострадавших организаций оказались:

  • правительственное министерство;
  • организация по управлению воздушным движением;
  • оператор связи;
  • строительная компания;
  • информационное агентство;
  • организация по авиаперевозкам в соседних странах.

Эти атаки свидетельствуют о высоком уровне кибервозможностей группы, которая использовала ряд недавно разработанных пользовательских инструментов.

Методы и инструменты атак

В ходе своих операций Billbug использовала разнообразные инструменты, включая:

  • загрузчики;
  • устройства для кражи учетных данных;
  • инструменты обратного SSH.

Одним из характерных методов была дополнительная загрузка библиотек DLL, позволяющая злоумышленникам использовать легальное программное обеспечение для выполнения вредоносных действий. Например, исполняемый файл Trend Micro с именем tmdbglog.exe загружал вредоносную библиотеку tmdglog.dll, выполнявшую функции загрузчика для чтения и выполнения содержимого файлов журнала. Аналогично, исполняемый файл bds.exe от Bitdefender использовался для загрузки log.dll, который считывал данные конфигурации и вводил расшифрованный контент в другие процессы.

Новшества и эволюция тактик

Группа представила новую версию бэкдора Sagerunex, которая обеспечивает постоянность за счёт изменений в реестре, позволяя ему работать как сервису. Также были внедрены новые инструменты, такие как ChromeKatz и CredentialKatz, предназначенные для кражи учетных данных из веб-браузера Chrome.

Billbug действует по меньшей мере с 2009 года, с акцентом на атаки на правительства и военные структуры Юго-Восточной Азии. Эволюция тактик группы от скрытого фишинга с использованием пользовательского троянца Trensil к сложным многоплановым кампаниям с использованием различных бэкдоров, таких как Hannotog и Sagerunex, подчеркивает растущую изощренность их операций.

Риски для безопасности

Действия группы в 2022 году против центра сертификации цифровых данных подтверждают их способность скомпрометировать инфраструктуру безопасности. Это создает значительные риски из-за несанкционированного доступа к сертификатам, что может облегчить управление сигнатурами вредоносных программ и перехват HTTPS-трафика.

Следовательно, задача по противодействию подобным угрозам становится особенно актуальной для государств и организаций, находящихся под угрозой таких кибератак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: