Китайская APT-группа Billbug провела атаку на центр сертификации

Татьяна Никитина 15 Ноября 2022 - 19:42

Таргетированные атаки

...

Китайская APT-группа Billbug провела атаку на центр сертификации

Команда Symantec, ушедшая под крыло Broadcom, рассказала о новых атаках APT-группы, которую она отслеживает под кодовым именем Billbug. Киберкампания, целью которой является шпионаж, была запущена полгода назад; фактов кражи данных пока не зафиксировано.

Насколько известно, группировка Billbug, она же Lotus Blossom и Thrip, действует в интернете как минимум с 2009 года — предположительно в интересах КНР. Основными мишенями хакеров являются правительственные структуры и военные организации азиатских стран. Идентификации Billbug не боится и часто оперирует инструментами, по которым ее можно вычислить.

Все жертвы новых APT-атак, список которых включает правительственные ведомства, оборонные предприятия и даже один УЦ, базируются в Азии. Иногда взломщикам удается скомпрометировать множество систем в целевой сети.

Случай с УЦ эксперты отметили особо: если в ходе атаки Billbug получила доступ к сертификатам, в дальнейшем она сможет их использовать для подписи вредоносного кода или перехвата HTTPS-трафика. Жертва уже извещена о вторжении; свидетельств компрометации сертификатов пока нет.

Первичный доступ к сетям жертв APT-группа, видимо, получает через эксплойт общедоступных приложений. Затем в ход идут легитимные инструменты, пользующиеся популярностью у хакеров (AdFind, WinRAR, Ping, Traceroute, NBTscan, Certutil, ), а также кастомные бэкдоры Hannotog и Sagerunex.

На машинах жертв обнаружено множество файлов, похожих на загрузчики Hannotog. Сам бэкдор обладает богатой функциональностью:

изменяет настройки файрвола;
открывает порт 5900 для прослушки;
регистрируется как сервис для обеспечения постоянного присутствия;
прибивает неугодные службы;
собирает информацию о системе;
выгружает зашифрованные данные;
загружает файлы по выбору оператора, в том числе Stowaway для проксирования трафика и Cobalt Strike.

Найденные семплы Sagerunex не имели вшитой конфигурации, поэтому их тоже загружал Hannotog. Второй кастомный имплант относительно стоек и может общаться с C2-сервером многими способами; почти все новые образцы использовали HTTPS и различные прокси-сервисы, некоторые пытались установить прямую связь.

Из команд, поддерживаемых Sagerunex, выявлены следующие:

вывод списка прокси-серверов, заданных в настройках;
выполнение программ, DLL, шелл-команд;
кража файлов по выбору;
получение пути к файлу из конфигурационных данных;
запись файла по указанному пути;
выбор пути к файлу для выполнения последующих команд.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Яков Шпунт 22 Января 2026 - 09:40

Общее Защита от сбоев

Беспилотные грузовики получат дополнительную защиту от кибератак

Система идентификации беспилотного транспорта на базе «ЭРА ГЛОНАСС» в ближайшее время получит новый функционал. Речь идёт о дополнительных мерах защиты от внешних атак, а также о механизме принудительной остановки техники в случае чрезвычайных ситуаций.

О планах по расширению возможностей «ЭРА ГЛОНАСС» рассказал ТАСС генеральный директор АО «ГЛОНАСС» Алексей Райкевич.

По его словам, к системе уже подключены все 95 беспилотных грузовых автомобилей, задействованных в эксперименте по автономным грузоперевозкам.

«Совместно с Минтрансом России мы запустили публичный счётчик безаварийного пробега робофур — для объективной оценки зрелости технологии. Следующий этап — появление новых функций в единой системе идентификации на базе “ЭРА ГЛОНАСС”. Речь идёт о защите робофур от кибератак и создании механизма централизованной принудительной остановки в случае чрезвычайных происшествий», — отметил Алексей Райкевич.

Кроме того, глава АО «ГЛОНАСС» сообщил о работе, которую Минтранс России ведёт в части правового регулирования беспилотного транспорта. По его словам, ведомство фактически выступает пионером в этой области — в том числе на мировом уровне.

Разработка нормативной базы при этом идёт параллельно с продолжением эксперимента по перевозке грузов с использованием робофур. В нём задействованы федеральные трассы М-11 «Нева», М-4 «Дон» и ЦКАД. Такой подход, по мнению Алексея Райкевича, позволяет сократить разрыв между внедрением новых технологий и их регулированием.

Согласно данным исследования АО «ГЛОНАСС», в 2025 году количество атак на автомобили всех типов выросло на 20%. При этом 93% инцидентов носили удалённый характер. Чаще всего транспорт атакуют с целью угона, реже — для вымогательства.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »