TA-ShadowCricket: анализ угроз и методы скрытого контроля
Источник: asec.ahnlab.com
Совместное расследование компаний AhnLab и Национального центра кибербезопасности (NCSC) пролило свет на деятельность хакерской группы TA-ShadowCricket, ранее известной как Shadow Force. Группа, предполагаемо связанная с Китаем, действует в Азиатско-Тихоокеанском регионе с 2012 года, уделяя особое внимание Южной Корее и соседним странам.
Методы проникновения и инструменты атакующих
TA-ShadowCricket специализируется на использовании IRC-ботов и бэкдоров, действуя через удалённый доступ к уязвимым серверам Windows и MS SQL. Тактика злоумышленников включает:
- использование незащищённых систем для проникновения;
- установку вредоносных программ с ключевыми словами «Melody», «Syrinx» и «WinEggDrop», указывающими на авторство;
- применение нескольких этапов установки вредоносного ПО — от первоначальной загрузки до внедрения дополнительных вредоносных компонентов.
Особое внимание стоит уделить нескольким инструментам из арсенала группы:
- Pemodifier — модифицирует исполняемые файлы Windows;
- бэкдор Shadowforce, который со временем перешёл в более сложный Maggie malware;
- использование специальной магической последовательности в сетевых пакетах для активации бэкдора, что позволяет обойти зависимость от фиксированного сервера C2;
- вредоносная программа Maggie, применяющая расширенные хранимые процедуры MS SQL Server, предоставляющая возможность выполнять удалённые SQL-запросы;
- кейлоггеры, механизмы кражи учетных данных, а также криптомайнеры.
Инфраструктура и география атак
В ходе расследования было выявлено, что TA-ShadowCricket поддерживает IRC-сервер с корейским IP-адресом. На этой платформе «затаились» около 2000 скомпрометированных IP-адресов, расположенных в 72 странах. Наибольшее количество скомпрометированных систем сконцентрировано в Китае, Южной Корее и Индии.
Дополнительно, анализ показал, что подключения по протоколу RDP осуществлялись с использованием этих скомпрометированных IP-адресов, а контроль над ними осуществлялся из Китая. Такая схема свидетельствует о скоординированных операциях командования и контроля (C2) с централизованным управлением.
Особенности деятельности и мотивы группы
Несмотря на более чем десятилетнюю деятельность, TA-ShadowCricket не использует методы вымогательства — например, не требует выкуп и не публикует украденные данные. Это указывает на иные цели группы, возможно, связанные с построением инфраструктуры для будущих атак, таких как DDoS.
Эксперты подчеркивают, что:
«Постоянное использование известных вредоносных инструментов и эволюция методологии позволяют предположить связь TA-ShadowCricket с деятельностью, поддерживаемой государством, что подтверждается анализом доступа с китайских IP-адресов.»
Применение IRC-ботов в управлении тысячами заражённых систем отражает аккуратную стратегию скрытого контроля и минимизации риска обнаружения.
Текущие исследования и рекомендации
С ноября 2024 года AhnLab сосредоточила усилия на мониторинге вредоносных IRC-серверов, управляемых неизвестным оператором под кодовым именем Larva-24013. Впоследствии данная инфраструктура была связана с группой Shadow Force и переклассифицирована как TA-ShadowCricket в системе классификации AhnLab.
Эксперты подчёркивают необходимость:
- принятия упреждающих мер по нейтрализации обнаруженной инфраструктуры IRC;
- активного мониторинга среды и своевременного реагирования на сигналы об атаках;
- совершенствования механизмов защиты удалённого доступа, особенно через RDP и MS SQL Server.
Угроза, исходящая от TA-ShadowCricket, остаётся актуальной для многих организаций региона и требует комплексного подхода к обеспечению кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
