Китайская APT-группа Billbug провела атаку на центр сертификации
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

Китайская APT-группа Billbug провела атаку на центр сертификации

Татьяна Никитина 15 Ноября 2022 - 19:42
...
Китайская APT-группа Billbug провела атаку на центр сертификации

Команда Symantec, ушедшая под крыло Broadcom, рассказала о новых атаках APT-группы, которую она отслеживает под кодовым именем Billbug. Киберкампания, целью которой является шпионаж, была запущена полгода назад; фактов кражи данных пока не зафиксировано.

Насколько известно, группировка Billbug, она же Lotus Blossom и Thrip, действует в интернете как минимум с 2009 года — предположительно в интересах КНР. Основными мишенями хакеров являются правительственные структуры и военные организации азиатских стран. Идентификации Billbug не боится и часто оперирует инструментами, по которым ее можно вычислить.

Все жертвы новых APT-атак, список которых включает правительственные ведомства, оборонные предприятия и даже один УЦ, базируются в Азии. Иногда взломщикам удается скомпрометировать множество систем в целевой сети.

Случай с УЦ эксперты отметили особо: если в ходе атаки Billbug получила доступ к сертификатам, в дальнейшем она сможет их использовать для подписи вредоносного кода или перехвата HTTPS-трафика. Жертва уже извещена о вторжении; свидетельств компрометации сертификатов пока нет.

Первичный доступ к сетям жертв APT-группа, видимо, получает через эксплойт общедоступных приложений. Затем в ход идут легитимные инструменты, пользующиеся популярностью у хакеров (AdFind, WinRAR, Ping, Traceroute, NBTscan, Certutil, ), а также кастомные бэкдоры Hannotog и Sagerunex.

На машинах жертв обнаружено множество файлов, похожих на загрузчики Hannotog. Сам бэкдор обладает богатой функциональностью:

  • изменяет настройки файрвола;
  • открывает порт 5900 для прослушки;
  • регистрируется как сервис для обеспечения постоянного присутствия;
  • прибивает неугодные службы;
  • собирает информацию о системе;
  • выгружает зашифрованные данные;
  • загружает файлы по выбору оператора, в том числе Stowaway для проксирования трафика и Cobalt Strike.

Найденные семплы Sagerunex не имели вшитой конфигурации, поэтому их тоже загружал Hannotog. Второй кастомный имплант относительно стоек и может общаться с C2-сервером многими способами; почти все новые образцы использовали HTTPS и различные прокси-сервисы, некоторые пытались установить прямую связь.

Из команд, поддерживаемых Sagerunex, выявлены следующие:

  • вывод списка прокси-серверов, заданных в настройках;
  • выполнение программ, DLL, шелл-команд;
  • кража файлов по выбору;
  • получение пути к файлу из конфигурационных данных;
  • запись файла по указанному пути;
  • выбор пути к файлу для выполнения последующих команд.
Следующая главная новость »
AM LiveКоммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

ГК «Солар» отчиталась за 2025 год: выручка выросла до 25,6 млрд рублей
Екатерина Быстрова 08 Апреля 2026 - 21:13
Корпорации Системы мониторинга событий безопасностиSIEM-системы ГК «Солар»
ГК «Солар» отчиталась за 2025 год: выручка выросла до 25,6 млрд рублей

ГК «Солар» опубликовала аудированную финансовую отчётность по МСФО за 2025 год. По итогам года выручка компании выросла на 15,3% и составила 25,6 млрд рублей. Основной вклад по-прежнему дали сервисы информационной безопасности: их выручка увеличилась на 15,2%, до 20,6 млрд рублей.

Продуктовое направление тоже прибавило — на 15,6%, до 5,1 млрд рублей.

Клиентская база компании за год заметно расширилась: на конец 2025 года у «Солара» было около 1,5 тыс. клиентов, что на 50% больше, чем годом ранее.

При этом по прибыли картина получилась более сдержанной. Показатель OIBDA снизился на 11,3%, до 4,8 млрд рублей, а рентабельность просела с 24,2% до 18,7%.

В компании связывают это в том числе со снижением маржинальности части госконтрактов, пересмотром продуктовой стратегии и расходами, связанными с закрытием отдельных проектов.

Одновременно «Солар» продолжил перестройку бизнеса. Компания смещает акцент с прежней стратегии быстрого роста на повышение операционной эффективности, контроль затрат и развитие более маржинальных направлений. По итогам 2025 года доля B2B-клиентов в выручке выросла до 54% против 49% годом ранее.

За год группа также провела несколько сделок M&A, в том числе увеличила долю в Luntry, а также развивала направления SIEM, безопасной разработки и защиты контейнерной инфраструктуры.

AM LiveКоммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!
В Android 17 готовят умный режим ускоренной зарядки смартфона
Новость
В Android 17 готовят умный режим ускоренной зарядки смартфон...
Документация на микроконтроллер Baikal-U стала общедоступна
Новость
Документация на микроконтроллер Baikal-U стала общедоступна
Критическая уязвимость в плагине WPvivid Backup затронула 900 000 сайтов
Новость
Критическая уязвимость в плагине WPvivid Backup затронула 90...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.