Китайская APT-группа Billbug провела атаку на центр сертификации

Татьяна Никитина 15 Ноября 2022 - 19:42

Таргетированные атаки

...

Китайская APT-группа Billbug провела атаку на центр сертификации

Команда Symantec, ушедшая под крыло Broadcom, рассказала о новых атаках APT-группы, которую она отслеживает под кодовым именем Billbug. Киберкампания, целью которой является шпионаж, была запущена полгода назад; фактов кражи данных пока не зафиксировано.

Насколько известно, группировка Billbug, она же Lotus Blossom и Thrip, действует в интернете как минимум с 2009 года — предположительно в интересах КНР. Основными мишенями хакеров являются правительственные структуры и военные организации азиатских стран. Идентификации Billbug не боится и часто оперирует инструментами, по которым ее можно вычислить.

Все жертвы новых APT-атак, список которых включает правительственные ведомства, оборонные предприятия и даже один УЦ, базируются в Азии. Иногда взломщикам удается скомпрометировать множество систем в целевой сети.

Случай с УЦ эксперты отметили особо: если в ходе атаки Billbug получила доступ к сертификатам, в дальнейшем она сможет их использовать для подписи вредоносного кода или перехвата HTTPS-трафика. Жертва уже извещена о вторжении; свидетельств компрометации сертификатов пока нет.

Первичный доступ к сетям жертв APT-группа, видимо, получает через эксплойт общедоступных приложений. Затем в ход идут легитимные инструменты, пользующиеся популярностью у хакеров (AdFind, WinRAR, Ping, Traceroute, NBTscan, Certutil, ), а также кастомные бэкдоры Hannotog и Sagerunex.

На машинах жертв обнаружено множество файлов, похожих на загрузчики Hannotog. Сам бэкдор обладает богатой функциональностью:

изменяет настройки файрвола;
открывает порт 5900 для прослушки;
регистрируется как сервис для обеспечения постоянного присутствия;
прибивает неугодные службы;
собирает информацию о системе;
выгружает зашифрованные данные;
загружает файлы по выбору оператора, в том числе Stowaway для проксирования трафика и Cobalt Strike.

Найденные семплы Sagerunex не имели вшитой конфигурации, поэтому их тоже загружал Hannotog. Второй кастомный имплант относительно стоек и может общаться с C2-сервером многими способами; почти все новые образцы использовали HTTPS и различные прокси-сервисы, некоторые пытались установить прямую связь.

Из команд, поддерживаемых Sagerunex, выявлены следующие:

вывод списка прокси-серверов, заданных в настройках;
выполнение программ, DLL, шелл-команд;
кража файлов по выбору;
получение пути к файлу из конфигурационных данных;
запись файла по указанному пути;
выбор пути к файлу для выполнения последующих команд.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 22 Января 2026 - 19:02

Корпорации Security Vision

Платформа Security Vision 5 получила более 300 улучшений за год

Компания Security Vision подвела итоги развития платформы Security Vision 5 (SV5) за 2025 год. За это время вышло 12 обновлений, в которые вошло более 300 доработок. Основной фокус разработчиков был на практичных вещах: управляемой автоматизации, расширении интеграций, удобстве эксплуатации и работе платформы в реальных корпоративных инфраструктурах.

В течение года развитие SV5 шло сразу по нескольким направлениям. Одним из ключевых стала автоматизация: в платформе появилось больше управляемых рабочих процессов и сценариев, позволяющих сократить ручную рутину.

В том числе были доработаны механизмы синхронного запуска сценариев, возврата результатов выполнения и появилась библиотека параметров. Это сделало автоматизацию более гибкой и предсказуемой, а сами сценарии — менее требовательными к производительности.

Параллельно расширялись интеграции и источники данных. В 2025 году платформа получила новые коннекторы, дополнительные источники телеметрии и более гибкие настройки сетевых параметров. Всё это позволяет собирать более полный контекст для анализа и расследований и уменьшает количество «костылей» в интеграционных цепочках.

Отдельное внимание уделялось безопасности и управляемости. В течение года были усилены механизмы контроля доступа и аудита: добавились новые события аудита, расширились настройки журналирования, а также появились дополнительные ограничения для API-доступа.

Заметные изменения коснулись и пользовательского интерфейса. В SV5 доработали дашборды и виджеты, добавили удобную фильтрацию по временным интервалам и развили визуализацию на карте. Обновления карточек объектов и редакторов сделали повседневную работу аналитиков и администраторов более быстрой и понятной.

Наконец, в части развертывания и эксплуатации разработчики упростили сценарии установки и сопровождения платформы, в том числе за счёт улучшенного логирования. Это снижает трудозатраты на внедрение и помогает быстрее разбираться с проблемами в процессе эксплуатации.

В Security Vision отмечают, что все обновления 2025 года были нацелены на практический эффект для команд заказчиков. SOC-аналитики получили более удобные инструменты для работы с контекстом событий, специалисты по расследованиям — меньше ручных операций за счёт автоматизации, а администраторы — более прозрачные сценарии установки, сопровождения и контроля доступа.

По итогам года платформа SV5 стала более управляемой и предсказуемой в повседневной работе — без радикальных изменений, но с большим количеством точечных улучшений, которые ощущаются в реальной эксплуатации.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »