Перейти к содержанию

Эксперты связали APT41 с отдельными фишинговыми кибератаками

Материал из Викиновостей, свободного источника новостей

7 октября 2021 года

Специалисты в области кибербезопасности из BlackBerry Research and Intelligence связали китайскую киберпреступную группировку APT41 (также известную как Barium или Winnti) с, казалось бы, разрозненными вредоносными кампаниями с использованием вредоносного ПО. Эксперты сопоставили части сетевой инфраструктуры группировки с фишинговыми атаками на пользователей в Индии, в ходе которых использовались приманки на тему COVID-19.

APT41 еще с 2012 года осуществляет спонсируемую государством Китая шпионскую деятельность в сочетании с финансово мотивированными операциями для личной выгоды. Преступники атаковали сферу здравоохранения, высоких технологий и телекоммуникаций для обеспечения долгосрочного доступа и облегчения кражи интеллектуальной собственности. Группировка известна кибератаками, направленными на кражу исходного кода и цифровых сертификатов, манипулирование виртуальной валютой и установку программ-вымогателей, а также компрометацию цепочки поставок программного обеспечения путем внедрения вредоносного кода в легитимные файлы.

Исследование BlackBerry основано на предыдущих выводах Mandiant в марте 2020 года, в которых подробно описывается «глобальная кампания взломов», организованная APT41 путем эксплуатации ряда уязвимостей в устройствах Cisco и Citrix. Преступники устанавливали полезные нагрузки следующего этапа, которые впоследствии загружали маячки Cobalt Strike на взломанные системы. Загрузчик отличался использованием гибкого профиля C&C-сервера, позволявший маячкам объединять свои сетевые коммуникации с удаленным сервером в легитимный трафик, исходящий из сети жертвы.

BlackBerry, обнаружившая аналогичный профиль C&C-сервера, загруженный на GitHub 29 марта китайским исследователем безопасности под псевдонимом 1135, использовала информацию о конфигурации метаданных для идентификации нового кластера доменов, связанных с APT41, которые пытаются замаскировать трафик маячков под легитимный трафик с сайтов Microsoft.

Результаты последующего анализа URL-адресов выявили три вредоносных PDF-файла, которые были загружены на один из вышеупомянутых доменов. Документы предположительно использовались в фишинговых письмах в качестве рекомендаций по COVID-19, выпущенными правительством Индии, или уведомлений о последних законах о подоходном налоге.

Вложения представляли собой файлы.LNK или.ZIP, которые при открытии отображениют жертве PDF-документ, в то время как в фоновом режиме цепочка заражения приводит к выполнению маячков Cobalt Strike. Хотя атаки с использованием аналогичных фишинговых приманок, обнаруженных в сентябре 2020 года, были связаны с Evilnum, эксперты заявили, что индикаторы взлома указывают на кампанию APT41.

Источники

[править]
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.