Китайская APT-группа Billbug провела атаку на центр сертификации

Китайская APT-группа Billbug провела атаку на центр сертификации

Китайская APT-группа Billbug провела атаку на центр сертификации

Команда Symantec, ушедшая под крыло Broadcom, рассказала о новых атаках APT-группы, которую она отслеживает под кодовым именем Billbug. Киберкампания, целью которой является шпионаж, была запущена полгода назад; фактов кражи данных пока не зафиксировано.

Насколько известно, группировка Billbug, она же Lotus Blossom и Thrip, действует в интернете как минимум с 2009 года — предположительно в интересах КНР. Основными мишенями хакеров являются правительственные структуры и военные организации азиатских стран. Идентификации Billbug не боится и часто оперирует инструментами, по которым ее можно вычислить.

Все жертвы новых APT-атак, список которых включает правительственные ведомства, оборонные предприятия и даже один УЦ, базируются в Азии. Иногда взломщикам удается скомпрометировать множество систем в целевой сети.

Случай с УЦ эксперты отметили особо: если в ходе атаки Billbug получила доступ к сертификатам, в дальнейшем она сможет их использовать для подписи вредоносного кода или перехвата HTTPS-трафика. Жертва уже извещена о вторжении; свидетельств компрометации сертификатов пока нет.

Первичный доступ к сетям жертв APT-группа, видимо, получает через эксплойт общедоступных приложений. Затем в ход идут легитимные инструменты, пользующиеся популярностью у хакеров (AdFind, WinRAR, Ping, Traceroute, NBTscan, Certutil, ), а также кастомные бэкдоры Hannotog и Sagerunex.

На машинах жертв обнаружено множество файлов, похожих на загрузчики Hannotog. Сам бэкдор обладает богатой функциональностью:

  • изменяет настройки файрвола;
  • открывает порт 5900 для прослушки;
  • регистрируется как сервис для обеспечения постоянного присутствия;
  • прибивает неугодные службы;
  • собирает информацию о системе;
  • выгружает зашифрованные данные;
  • загружает файлы по выбору оператора, в том числе Stowaway для проксирования трафика и Cobalt Strike.

Найденные семплы Sagerunex не имели вшитой конфигурации, поэтому их тоже загружал Hannotog. Второй кастомный имплант относительно стоек и может общаться с C2-сервером многими способами; почти все новые образцы использовали HTTPS и различные прокси-сервисы, некоторые пытались установить прямую связь.

Из команд, поддерживаемых Sagerunex, выявлены следующие:

  • вывод списка прокси-серверов, заданных в настройках;
  • выполнение программ, DLL, шелл-команд;
  • кража файлов по выбору;
  • получение пути к файлу из конфигурационных данных;
  • запись файла по указанному пути;
  • выбор пути к файлу для выполнения последующих команд.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

На Госуслугах появилась функция «Доверенный контакт» для защиты аккаунта

Главное правило безопасности на Госуслугах остаётся прежним — никогда и никому не сообщайте свои логин, пароль и коды подтверждения входа. Но теперь у пользователей появилась ещё одна защита — функция «Доверенный контакт», которая поможет обезопасить ваш аккаунт от мошенников.

Это может быть, например, родственник или близкий друг. Он не получит доступ к вашему кабинету и не сможет что-то менять от вашего имени.

Но если вы, скажем, забудете пароль и решите его восстановить, — на телефон доверенного человека придёт дополнительный код подтверждения. Это добавляет лишний уровень защиты и снижает риск взлома.

Как подключить доверенный контакт:

  1. Войдите в личный кабинет на Госуслугах.
  2. Откройте раздел «Безопасность» и выберите пункт «Доверенный контакт».
  3. Нажмите «Добавить» и укажите данные человека:
    • имя (без отчества и фамилии),
    • номер телефона, привязанный к его учётной записи на Госуслугах — именно на него будут приходить СМС-коды.
  4. Отправьте приглашение. Оно появится в личном кабинете вашего доверенного лица.
    Если человек не успеет подтвердить запрос — просто отправьте его снова.
  5. После принятия приглашения информация о доверенном контакте появится у вас в профиле.
    Теперь при восстановлении доступа к аккаунту код сначала уйдёт ему.

Функция доступна всем пользователям старше 14 лет. Добавить можно только одного доверенного человека, но сам доверенный может помогать до пяти пользователям.

Требования к доверенному контакту:

  • возраст — от 18 лет;
  • гражданство Российской Федерации;
  • подтверждённая учётная запись на Госуслугах;
  • указанные в профиле паспортные данные и актуальный номер телефона.

Если захотите — доверенного контакт можно отключить или заменить на другого в любое время прямо в личном кабинете.

«Доверенный контакт» — это простой способ добавить ещё один уровень защиты и обезопасить себя от мошенников. Особенно полезно тем, кто переживает, что аккаунт могут взломать или перехватить СМС-код.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru