Китайская APT-группа Billbug провела атаку на центр сертификации

Татьяна Никитина 15 Ноября 2022 - 19:42

Таргетированные атаки

...

Китайская APT-группа Billbug провела атаку на центр сертификации

Команда Symantec, ушедшая под крыло Broadcom, рассказала о новых атаках APT-группы, которую она отслеживает под кодовым именем Billbug. Киберкампания, целью которой является шпионаж, была запущена полгода назад; фактов кражи данных пока не зафиксировано.

Насколько известно, группировка Billbug, она же Lotus Blossom и Thrip, действует в интернете как минимум с 2009 года — предположительно в интересах КНР. Основными мишенями хакеров являются правительственные структуры и военные организации азиатских стран. Идентификации Billbug не боится и часто оперирует инструментами, по которым ее можно вычислить.

Все жертвы новых APT-атак, список которых включает правительственные ведомства, оборонные предприятия и даже один УЦ, базируются в Азии. Иногда взломщикам удается скомпрометировать множество систем в целевой сети.

Случай с УЦ эксперты отметили особо: если в ходе атаки Billbug получила доступ к сертификатам, в дальнейшем она сможет их использовать для подписи вредоносного кода или перехвата HTTPS-трафика. Жертва уже извещена о вторжении; свидетельств компрометации сертификатов пока нет.

Первичный доступ к сетям жертв APT-группа, видимо, получает через эксплойт общедоступных приложений. Затем в ход идут легитимные инструменты, пользующиеся популярностью у хакеров (AdFind, WinRAR, Ping, Traceroute, NBTscan, Certutil, ), а также кастомные бэкдоры Hannotog и Sagerunex.

На машинах жертв обнаружено множество файлов, похожих на загрузчики Hannotog. Сам бэкдор обладает богатой функциональностью:

изменяет настройки файрвола;
открывает порт 5900 для прослушки;
регистрируется как сервис для обеспечения постоянного присутствия;
прибивает неугодные службы;
собирает информацию о системе;
выгружает зашифрованные данные;
загружает файлы по выбору оператора, в том числе Stowaway для проксирования трафика и Cobalt Strike.

Найденные семплы Sagerunex не имели вшитой конфигурации, поэтому их тоже загружал Hannotog. Второй кастомный имплант относительно стоек и может общаться с C2-сервером многими способами; почти все новые образцы использовали HTTPS и различные прокси-сервисы, некоторые пытались установить прямую связь.

Из команд, поддерживаемых Sagerunex, выявлены следующие:

вывод списка прокси-серверов, заданных в настройках;
выполнение программ, DLL, шелл-команд;
кража файлов по выбору;
получение пути к файлу из конфигурационных данных;
запись файла по указанному пути;
выбор пути к файлу для выполнения последующих команд.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 06 Апреля 2026 - 16:18

Android Домашние пользователи Google

Поиск проблемных отзывов в Google Play Store значительно упростили

Google начала разворачивать полезное обновление для Play Store: теперь в магазине приложений можно искать нужную информацию прямо внутри пользовательских отзывов. Нововведение должно заметно упростить жизнь тем, кто не хочет тратить время на установку приложения вслепую.

Раньше, если нужно было понять, например, есть ли у программы проблемы с подпиской, рекламой, уведомлениями или работой после обновления, приходилось вручную листать десятки, а то и сотни комментариев. Теперь для этого появился отдельный поиск.

Работает функция так: нужно открыть страницу приложения, нажать на рейтинг в верхней части экрана и перейти в раздел «Посмотреть все отзывы. Есть и второй путь: прокрутить страницу до блока с отзывами и рейтингами.

Под ИИ-сводкой отзывов там должен появиться значок лупы. После нажатия раздел с отзывами поднимается вверх, и пользователь увидит строку поиска.

Дальше всё стандартно: вводите несколько слов, нажимаете поиск на клавиатуре и Play Store показывает отзывы, где встречаются нужные фразы.

Правда, пока функция работает не идеально. Поиск не подбирает результаты «на лету» во время ввода, а ищет только точные совпадения по запросу. Кроме того, поиск, похоже, не работает по одному слову, нужно вводить хотя бы пару. Зато под строкой поиска могут появляться подсказки с популярными темами и жалобами.

Впервые тестирование этой функции заметили ещё в ноябре, но тогда она толком не работала. Теперь Google официально подтвердила, что поиск по отзывам начал распространяться вместе с одной из свежих версий Play Store.

Функция появляется у пользователей версии 50.7.24-31. Если обновление ещё не добралось до устройства, можно попробовать обновить сам магазин вручную: открыть Play Store, нажать на фото профиля, зайти в «Настройки», затем в «О Google Play Store» и выбрать «Обновить Play Store».

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!