Китайская APT-группа Billbug провела атаку на центр сертификации

Китайская APT-группа Billbug провела атаку на центр сертификации

Китайская APT-группа Billbug провела атаку на центр сертификации

Команда Symantec, ушедшая под крыло Broadcom, рассказала о новых атаках APT-группы, которую она отслеживает под кодовым именем Billbug. Киберкампания, целью которой является шпионаж, была запущена полгода назад; фактов кражи данных пока не зафиксировано.

Насколько известно, группировка Billbug, она же Lotus Blossom и Thrip, действует в интернете как минимум с 2009 года — предположительно в интересах КНР. Основными мишенями хакеров являются правительственные структуры и военные организации азиатских стран. Идентификации Billbug не боится и часто оперирует инструментами, по которым ее можно вычислить.

Все жертвы новых APT-атак, список которых включает правительственные ведомства, оборонные предприятия и даже один УЦ, базируются в Азии. Иногда взломщикам удается скомпрометировать множество систем в целевой сети.

Случай с УЦ эксперты отметили особо: если в ходе атаки Billbug получила доступ к сертификатам, в дальнейшем она сможет их использовать для подписи вредоносного кода или перехвата HTTPS-трафика. Жертва уже извещена о вторжении; свидетельств компрометации сертификатов пока нет.

Первичный доступ к сетям жертв APT-группа, видимо, получает через эксплойт общедоступных приложений. Затем в ход идут легитимные инструменты, пользующиеся популярностью у хакеров (AdFind, WinRAR, Ping, Traceroute, NBTscan, Certutil, ), а также кастомные бэкдоры Hannotog и Sagerunex.

На машинах жертв обнаружено множество файлов, похожих на загрузчики Hannotog. Сам бэкдор обладает богатой функциональностью:

  • изменяет настройки файрвола;
  • открывает порт 5900 для прослушки;
  • регистрируется как сервис для обеспечения постоянного присутствия;
  • прибивает неугодные службы;
  • собирает информацию о системе;
  • выгружает зашифрованные данные;
  • загружает файлы по выбору оператора, в том числе Stowaway для проксирования трафика и Cobalt Strike.

Найденные семплы Sagerunex не имели вшитой конфигурации, поэтому их тоже загружал Hannotog. Второй кастомный имплант относительно стоек и может общаться с C2-сервером многими способами; почти все новые образцы использовали HTTPS и различные прокси-сервисы, некоторые пытались установить прямую связь.

Из команд, поддерживаемых Sagerunex, выявлены следующие:

  • вывод списка прокси-серверов, заданных в настройках;
  • выполнение программ, DLL, шелл-команд;
  • кража файлов по выбору;
  • получение пути к файлу из конфигурационных данных;
  • запись файла по указанному пути;
  • выбор пути к файлу для выполнения последующих команд.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

49% россиян уверены, что умеют распознавать фишинг и скам

«Лаборатория Касперского» вместе с Почтой Mail и Hi-Tech Mail выяснили, насколько россияне чувствуют себя уверенно, когда дело доходит до фишинга и скама. Почти половина участников опроса (49 %) заявили, что умеют отличать мошеннические сообщения, хотя многие признались: ошибки всё же случаются.

Четверть респондентов (24 %) сказали, что способны заметить обман только в самых очевидных случаях, а ещё 23 % честно признались, что разбираются слабо, но стараются быть осторожными.

Эксперты напоминают: схемы атак становятся всё сложнее, и иногда без специальных технологий выявить их невозможно.

Как пользователи защищаются

Каждый четвёртый (27 %) старается не открывать вложения и не переходить по ссылкам из сомнительных писем. 15 % критически оценивают каждое входящее сообщение, а 10 % проверяют адрес отправителя. Ещё один из десяти установил защитное ПО на компьютер или смартфон, 9 % настроили двухфакторную аутентификацию.

Некоторые идут дальше: проверяют ссылки перед переходом, наводя на них курсор, чтобы увидеть реальный адрес, или смотрят на домен в строке браузера. Часть опрошенных даже связывается с отправителем по другим каналам, чтобы убедиться, что письмо действительно от него.

Почему одних навыков мало

Эксперт «Лаборатории Касперского» Роман Деденок напоминает: базовые правила кибергигиены важны, но сегодня этого может быть недостаточно. Злоумышленники всё чаще шлют персонализированные письма от имени «отдела кадров», снабжая их поддельными вложениями. Такие атаки сложно заметить без технической защиты.

Со своей стороны почтовые сервисы используют антиспам-фильтры, машинное обучение и предупреждения о подозрительных письмах. Но, как отмечает Дмитрий Моряков из Почты Mail, решающим фактором всё равно остаётся внимательность самих пользователей: именно человек в итоге либо отражает атаку, либо становится её жертвой.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru