Китайская APT-группа Billbug провела атаку на центр сертификации

Татьяна Никитина 15 Ноября 2022 - 19:42

Таргетированные атаки

...

Китайская APT-группа Billbug провела атаку на центр сертификации

Команда Symantec, ушедшая под крыло Broadcom, рассказала о новых атаках APT-группы, которую она отслеживает под кодовым именем Billbug. Киберкампания, целью которой является шпионаж, была запущена полгода назад; фактов кражи данных пока не зафиксировано.

Насколько известно, группировка Billbug, она же Lotus Blossom и Thrip, действует в интернете как минимум с 2009 года — предположительно в интересах КНР. Основными мишенями хакеров являются правительственные структуры и военные организации азиатских стран. Идентификации Billbug не боится и часто оперирует инструментами, по которым ее можно вычислить.

Все жертвы новых APT-атак, список которых включает правительственные ведомства, оборонные предприятия и даже один УЦ, базируются в Азии. Иногда взломщикам удается скомпрометировать множество систем в целевой сети.

Случай с УЦ эксперты отметили особо: если в ходе атаки Billbug получила доступ к сертификатам, в дальнейшем она сможет их использовать для подписи вредоносного кода или перехвата HTTPS-трафика. Жертва уже извещена о вторжении; свидетельств компрометации сертификатов пока нет.

Первичный доступ к сетям жертв APT-группа, видимо, получает через эксплойт общедоступных приложений. Затем в ход идут легитимные инструменты, пользующиеся популярностью у хакеров (AdFind, WinRAR, Ping, Traceroute, NBTscan, Certutil, ), а также кастомные бэкдоры Hannotog и Sagerunex.

На машинах жертв обнаружено множество файлов, похожих на загрузчики Hannotog. Сам бэкдор обладает богатой функциональностью:

изменяет настройки файрвола;
открывает порт 5900 для прослушки;
регистрируется как сервис для обеспечения постоянного присутствия;
прибивает неугодные службы;
собирает информацию о системе;
выгружает зашифрованные данные;
загружает файлы по выбору оператора, в том числе Stowaway для проксирования трафика и Cobalt Strike.

Найденные семплы Sagerunex не имели вшитой конфигурации, поэтому их тоже загружал Hannotog. Второй кастомный имплант относительно стоек и может общаться с C2-сервером многими способами; почти все новые образцы использовали HTTPS и различные прокси-сервисы, некоторые пытались установить прямую связь.

Из команд, поддерживаемых Sagerunex, выявлены следующие:

вывод списка прокси-серверов, заданных в настройках;
выполнение программ, DLL, шелл-команд;
кража файлов по выбору;
получение пути к файлу из конфигурационных данных;
запись файла по указанному пути;
выбор пути к файлу для выполнения последующих команд.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 01 Июня 2026 - 10:54

Соответствие законодательству РФ Малый и средний бизнес Корпорации

Самозанятый или штатник? Ошибка может стоить бизнесу до 5 млн рублей

Российскому бизнесу всё жёстче напоминают: самозанятый — это не сотрудник на минималках, а отдельный налоговый режим. И если компания решила сэкономить на НДФЛ и страховых взносах, маскируя штатника под фрилансера, ФНС может прийти с очень неприятным калькулятором.

По данным платформы «Консоль» (приводят «Известия»), спор с налоговой из-за неправильно оформленного самозанятого может обойтись среднему бизнесу в 3-5 млн рублей.

Причём речь может идти всего об одном человеке. Если ФНС решит, что компания подменила трудовые отношения самозанятостью, ей доначислят НДФЛ, страховые взносы, штрафы и пени за весь период работы.

Расклад бодрит. Например, если компания два года платила самозанятому по 250 тыс. рублей в месяц, общий объём выплат составит 6 млн рублей. При переквалификации отношений бизнесу могут доначислить около 780 тыс. рублей НДФЛ и примерно 1,8 млн рублей страховых взносов. А вместе со штрафами и пенями итог легко перевалит за 3 млн рублей.

Юристы подтверждают: такие суммы уже встречаются на практике. Основные красные флажки для ФНС — фиксированные ежемесячные выплаты, отсутствие у самозанятого других клиентов, работа по графику, корпоративная почта, оборудование или рабочее место. То есть если человек выглядит как сотрудник, работает как сотрудник и получает деньги как сотрудник, налоговая может решить, что это и есть сотрудник.

Для небольших компаний такие претензии могут стать не просто неприятностью, а ударом по кассе: от остановки проектов до проблем с выплатами другим работникам и кредиторам. Несколько подобных эпизодов способны довести бизнес до банкротства.

Эксперты советуют оформлять отношения по-взрослому: заключать договор на конкретный результат, подписывать акты, не ставить исполнителя в график, не встраивать его в корпоративную структуру и не платить зарплатой под другим названием. А ещё не нанимать бывших сотрудников как самозанятых в течение двух лет после увольнения.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!