APT-группа заметает следы, маскируясь под скрипт-кидди
5 ноября 2020 года
Специалист компании Sophos Габор Саппанош (Gabor Szappanos) сообщил о APT-группе, атакующей неправительственные организации в Мьянме. Примечательной чертой группировки является использование сложных техник взлома наряду с сообщениями, характерными для малоопытных хакеров (так называемых скрипт-кидди). Это усложняет ИБ-экспертам задачу по идентификации группировки.
По словам специалиста, злоумышленники прячут в своем вредоносном коде сообщения, характерные для скрипт-кидди, например, «KilllSomeOne». В то же время группировка использует сложный таргетинг и развертывание вредоносного ПО, как настоящая APT.
В своих атаках киберпреступники полагаются в основном на технику, известную как «боковая загрузка DLL» (DLL side-loading), которая приобрела большую популярность в Китае в 2013 году. Этот факт, а также территориальные споры между Китаем и Мьянмой, указывают на то, что APT-группа может быть из Китая.
Злоумышленники используют четыре разных сценария боковой загрузки DLL для загрузки на атакуемую систему либо полезной нагрузки оболочки, позволяющей запускать команды, либо сложного набора вредоносного ПО. Однако все четыре сценария предполагают выполнение вредоносного кода и установку бэкдоров в сетях атакуемой организации. Каждый из них также имеет один и тот же путь к базе данных ПО (PDB) и содержит написанные на ломаном английском языке текстовые строки политического характера, в том числе «Happiness is a way station between too much and too little» и «HELLO_USA_PRISIDENT».
По мнению экспертов, группировка не является однородной и состоит из участников разного уровня подготовки, как высококвалифицированных, так и среднего уровня.
Источники[править]
Эта статья содержит материалы из статьи «APT-группа заметает следы, маскируясь под скрипт-кидди», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.