Технологии и тактики APT-группы Obstinate Mogwai: глубокий анализ

В недавнем анализе эксперты по кибербезопасности подробно рассмотрели инструменты и методы азиатской APT-группы Obstinate Mogwai. В центре внимания оказались два ключевых бэкдора — Donnect и DimanoRAT, а также веб-оболочка AntSpy. Эти компоненты демонстрируют высокий уровень технической изощрённости и уникальные подходы к реализации атак, что требует пристального внимания специалистов по информационной безопасности.

Веб-оболочка AntSpy: наследие и инновации

AntSpy основывается на более ранних веб-shell решениях, таких как Antak и ASPXSpy, но отличительной чертой стала интеграция трехуровневой системы аутентификации. Она включает:

• хэш MD5, сгенерированный на основе текущей даты;
• нажатие невидимой кнопки на интерфейсе;
• пароль, комбинируемый со случайной солью.

Такой подход значительно повышает сложность несанкционированного доступа. Однако операторы столкнулись с ошибками в контроле целостности из-за неправильной настройки серверов Exchange, что привело к утечке истории команд — серьёзному пробою в их инфраструктуре.

Donnect: бэкдор с маскировкой устаревших служб

Появившийся в апреле 2022 года бэкдор Donnect функционирует за счёт получения зашифрованных команд с C2-сервера. Его особенности включают:

• создание службы, работающей внутри svchost.exe;
• имитацию устаревших служб Windows, которые сейчас не используются, что снижает подозрительность;
• спящий режим в периоды бездействия;
• использование таблиц TCP-соединений для поиска прокси-серверов при неудаче прямого подключения к C2.

Стоит отметить интересную деталь — в коммуникационной части обнаружена опечатка в слове «ПОДКЛЮЧИТЬСЯ», которая унаследована от схожих вредоносных программ, что может служить маркером происхождения кода.

DimanoRAT: многофункциональный инструмент с зашифрованной конфигурацией

В марте 2023 года появился новый бэкдор DimanoRAT, предлагающий 24 операционные команды. Его ключевые характеристики:

• шифрование конфигурации с помощью алгоритма RC4;
• использование реестра служб Windows для хранения параметров;
• установка соединений как напрямую, так и через прокси, данные о которых также хранятся в реестре.

Распространение и маскировка: особенности атак на серверы Exchange

Во время атак веб-оболочка AntSpy регулярно обнаруживается в каталогах серверов Exchange. Это указывает на использование многоуровневых кодовых решений, которые маскируют вредоносные элементы под легитимные функции. Причем обширный и запутанный код веб-оболочки свидетельствует о намеренной попытке скрыть злонамеренную активность.

Общая картина и географические особенности

Анализ показывает, что оба бэкдора — Donnect и DimanoRAT — участвуют в широкой операционной кампании Obstinate Mogwai, характеризующейся:

• специфическими методами ведения атак;
• широким совместным использованием кода;
• трудностями в установлении точного авторства из-за взаимосвязей внутри киберпреступного сообщества.

Особенный интерес вызывает ориентированность вредоносного ПО на российские организации. Это позволяет предположить, что операционные приоритеты и тактики APT-группы варьируются в зависимости от географической направленности атак. Такая динамика подчеркивает важность постоянного мониторинга локальных хакерских ландшафтов для своевременного обнаружения угроз.

Выводы

Сложное сочетание методов и инструментов, используемых Obstinate Mogwai, иллюстрирует взаимосвязанную и высокотехнологичную природу современных APT-групп. Их изощрённость и адаптивность требуют от специалистов по кибербезопасности постоянного улучшения процессов анализа и защиты, а также глубокого изучения локальных особенностей «игрового поля» в разных регионах мира.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.