У першому кварталі 2024 року вдосконалена постійна загроза (APT) з різних глобальних регіонів, включаючи Китай, Північну Корею, Іран та Росію, продемонструвала сплеск динамічної та інноваційної кібер -діяльності, що створює значні проблеми для глобального ландшафту кібербезпеки.
Починаючи з Ірану, такі групи, як “батьківщина” та “піщана буря”, посилили свої зусилля шпигунства, орієнтуючись на урядові та академічні установи на Заході та Близькому Сході, з складним фішингом та новим зловмисним програмним забезпеченням, включаючи Mediapi та Mischieftut. Крім того, “Чарівний кошеня” просунув свою тактику соціальної інженерії через підроблену платформу вебінару, а група черепахів посилила свою увагу на аерокосмічному та оборонному секторах на Близькому Сході, що ілюструє широке та стратегічне підвищення кібер -можливостей Ірану.
Перехід до Росії, державні суб’єкти, такі як APT29, отримали доступ до цілей високої вартості, включаючи Microsoft, компрометуючи корпоративні електронні листи та сховища вихідного коду. Ця група також перейшла фокус на європейських політичних арен на тлі регіональної напруженості, орієнтуючись на німецькі політичні партії з нещодавно розробленим у винних засобах. Тим часом група Gamaredon підтримувала свої складні напади проти українських військових, а APT28 використовує вразливості в убікіті -егерутерах для створення широких ботнеток, демонструючи пристосованість та стратегічну глибину Росії в кібер -операціях.
Китайські групи, такі як Земля Луска, Ухильна панда та Земля Краханг підкреслили витончений підхід до кібер -шпигунства. Земля Луска використовує геополітичну напруженість з Тайвань через цілеспрямовані кампанії побиття списа; Ухильна панда експлуатувала тибетську діаспору під час фестивалю Monlam з трояналізованим програмним забезпеченням, а Земля Краханг здійснила всебічні напади на глобальні урядові структури. Ці операції експлуатували вразливості та використовували компрометовані системи для широкого збору розвідки, підкреслюючи стратегічне та агресивне прагнення до розвідки акторами, що фінансуються китайцями.
Нарешті, північнокорейські групи – особливо Кімсукі та Лазарська група – значно просунули свою тактику шпигунства. Kimsuky розширив свій доступ до регіону APAC, використовуючи складні методи розгортання зловмисного програмного забезпечення для підтримки прихованого доступу, а також створення можливостей атаки ланцюга поставок за допомогою сховищ програмного забезпечення PYPI. Одночасно група Lazarus використовувала нову вразливість ядра Windows, щоб підвищити їх Fudmodule Rootkit, полегшуючи маніпулювання глибокою системою та ухилення від розширених заходів безпеки.
Решта статті була заблокована. Щоб продовжити читання, увійдіть.
- Албанія
- Сполучені Штати
- Великобританія
- Газа
- Ізраїль
- Бельгія
- Франція
- Об’єднані Арабські Емірати
- Туреччина
- Індія
Цільова технологія - Операційна система Windows
- PowerShell
- Утиліта програмного забезпечення для мережевого зв’язку (PINK)
- RevSocks
- Cloud Cloud Microsoft Azure
Цільові галузі - Уряд
- Телекомунікація
- Транспорт
- Дослідницькі організації
- Університети
- Аерокосмічний
- Авіація
- Захист
- ІТ -послуги
Правосуддя батьків
У першій чверті 2024 року колектив, пов’язаний з іраном, зловмисник, визнала проведення кібер-нападу на інститут статистики Албанії (Instat). Цей наступив призвів до значних порушень веб -сайту Instat та функціональних можливостей електронної пошти, що змушує затримку у публікації вирішальної офіційної статистики. Правосуддя, яка стверджувала, що вона проникла в цифрові сховища інституту, що нібито викреслюючи понад 100 ТБ конфіденційних даних, що охоплюють географічні та демографічні деталі. Однак справжність цього твердження не підтверджена. Незважаючи на ці тривожні розробки, Instat підтвердив, що останні дані перепису залишаються захищеними. Цей напад на Албанію, можливо, був у відплаті за націю, що забезпечує притулок членам іранської опозиційної групи Mujahedeen-e-Khalq, або Mek, в межах своїх кордонів.
Спостережувані методи нападу
T1190: Використовуйте загальнодоступний додаток, T1505.003: Компонент програмного забезпечення сервера: Web Shell, T1021.001: Віддалені послуги: Протокол віддаленого робочого столу, T1078.001: Дійсні облікові записи: Облікові записи за замовчуванням, T1210: Використання віддалених служб, T1021: Віддалений Послуги, T1071.004: Протокол рівня програми: DNS, T1021.006: Віддалені служби: Віддалене управління Windows, T1003.001: ОС -демпінг: LSASS Memory, T1486: зашифровані дані для впливу, T1564.001: приховати артифакти: приховані файли і каталоги
Піщана буря м’яти, чарівне кошеня
На початку 2024 року група загроз, пов’язаних із іранською, відома тим, що проводить складні шпигунські кампанії, спрямовані на різноманітний спектр організацій, перемістили свою увагу на дослідницькі організації та академічні установи, що спеціалізуються на справах Близького Сходу. Ця група, ідентифікована як піщана буря Mint та пов’язана з Іранським ісламським революційним корпусом гвардії, розпочала напади по кількох країнах, включаючи США, Великобританію, Газу та Ізраїль, серед інших, представляючи нову власну Backdoor Dubbed Mediapi. Ця кампанія використовувала фішинг -тактику разом із власним заднім куточком для інфільтратних систем. У деяких випадках жертви були приховані з файлом VBS, який використовував піщана буря Mint для підтримки доступу до інфільтрованих систем. Зловмисники використовували два чіткі задні: Mediapi, геніально маскувались як Windows Media Player, та Mischieftut, PowerShell Backdoor, здатний до ексфільтрації даних та завантажувати додаткові зловмисні інструменти. Оперативна майстерність Mint Sandstorm очевидна в її постійній еволюції, адаптуючи як інструменти, так і тактику, щоб ефективно порушити гучні цілі. Остання серія нападів була помітно позначена експлуатацією конфлікту Ізраїль-Хамаса, де нападники маскувались як журналісти та інші помітні фігури, використовуючи, здавалося б, доброякісні електронні листи для встановлення довіри. Ця попередня фаза побудови звітів була критичною перед розгортанням зловмисного програмного забезпечення на їх передбачувані цілі.
Спостережувані методи нападу
T1566.003: Фізинг: Spear Phishing через службу, T1078.004: Дійсні облікові записи – хмарні облікові записи, T1204.002: Виконання користувачів – Зловмисний файл, T1059.001: Команда та інтерпретатор сценаріїв – PowerShell, T1053.005: Заплановане завдання/завдання : Заплановане завдання, T1112: Змініть реєстр, T1564.001: приховати артефакти-приховані файли та каталоги, T1559.001: Міжпроцеська комунікація-компонентна об’єктна модель, T1547.001: Boot або Logon Auto Start Виконання-Реєстр запустіть клавіші / Запуск Папка
В іншій кампанії Чарівний кошеня ініціював серію кібератаків, орієнтованих на експертів з політики Близького Сходу, використовуючи роман, який називається BasicStar під виглядом підробленої платформи вебінару. Ця група відома своїми нетрадиційними стратегіями соціальної інженерії, які часто передбачають ініціювання розширених розмов електронної пошти з цілями для побудови звітності до поширення шкідливих зв’язків. У своїй останній кампанії чарівне кошеня видавав себе за себе Міжнародного інституту іранських досліджень Расани (IIIS), використовуючи цю ідентичність для встановлення довіри та довіри до своїх цілей. Фішинг-зусилля ще більше складаються шляхом викрадення законних облікових записів електронної пошти та застосування техніки, відомої як багатоповерхова представлення, використовуючи кілька облікових записів електронної пошти, контрольованих зловмисниками. Ці фішинг -атаки зазвичай використовують архіви RAR, що містять файли LNK, щоб розпочати процес розподілу зловмисного програмного забезпечення, привабливі цілі із запрошеннями на вигадані вебінари, пристосовані до їх інтересів. Зокрема, складний ланцюг інфекції, що включає BasicStar поряд з Korkuloader, сценарієм PowerShell, призначеним для завантаження подальших шкідливих корисних навантажень, ілюструє складні методи компрометування систем.
Спостережувані методи нападу
T1566.002: Посилання на фішинг, T1204: Виконання користувача, T1574: Потік виконання, T1027: Запалені файли або інформація, T1087: Відкриття облікового запису, T1213: Дані з інформаційного сховища, T1105
Черепаха
У Q1 2024 р. Група черепашок, пов’язана з Іранським революційним охоронцем (IRGC), займається складними кібер -операціями, спрямованими на аерокосмічні, авіаційні та оборонні сектори в межах Близького Сходу, зокрема в Ізраїлі, Об’єднані Арабські Емірати (ОАЕ ), і, можливо, поширюючись на Туреччину, Індію та Албанію. Використання оманливих тактики, таких як поширення політичних повідомлень та реклама підроблених технічних можливостей роботи, черепаха має на меті проникнути та поставити під загрозу системи своїх цілей. Ця стратегія включає попередні спроби порушити ланцюги поставок підрядників оборони та постачальників ІТ -послуг. Зв’язок із IRGC підкреслює стратегічне значення цих кібератак, особливо на тлі посиленої напруги після конфлікту Ізраїль-Хамаса. Дослідники, що відстежують діяльність Tortooiseshell, відзначають складне використання методів ухилення групи, включаючи використання хмарних послуг Microsoft Azure та соціальної інженерії для розповсюдження двох відмінних задніх під назвою Minibike та Minibus, що ще більше підкреслює пристосованість групи та зосередженість на високоцінних цілях оборони.
Спостережувані методи нападу
T1566.002: Посилання на Spearfishing, T1589.001: Зберіть Ідентифікаційні дані, що надходять у жертву, T1547.001: Boot або Logon Autostart Execrution-registry запустіть клавіші / папка запуску, T1059: Команда та інтерпретатор сценарію, T1105: Передача інструментів Ingress, T1071. 004: Протокол рівня додатків: DNS, T1027: Запалені файли або інформація, T1550.002: Використовуйте альтернативний матеріал аутентифікації: проходьте хеш, T1583.002: придбайте інфраструктуру: DNS -сервер
Додаткові спостереження свідчать про те, що Іран посилює свої можливості кібер -війни, зокрема, орієнтуючись на своїх супротивників на Близькому Сході, посилюючи свою тактику кібераттеку. Зокрема, групи кібер-операцій, пов’язані з Іраном, все більше орієнтуються на фірми ІТ-послуг, розглядаючи їх як шлюзи для проникнення в мережі державних клієнтів. Розвідка, зібрана з цих вторгнень, має стратегічне значення для Ірану, слугуючи потенційним важелем для шпигунської діяльності та потенційно навіть кінетичними операціями. Ця ескалація підкреслює зростаючу доблесть Ірану та рішучість у царині кібер -війни, створюючи значні проблеми для регіональної стабільності та безпеки.
Російська влучна діяльність
Цілеспрямована країна - Сполучені Штати
- Україна
- Німеччина
- Чехія
- Індія
- Італія
- Латвія
- Перу
Цільова технологія - Корпоративні облікові записи Microsoft
- Windows
- Edgerouters
- Хмарна інфраструктура
Цільові галузі - Технологія
- Захист
- Політичні партії
APT29
Дослідники виявили, що російський державний актор, що фінансується нобелієм, який займається складною кібераткою, орієнтованою на Microsoft, використовуючи техніку розпилювача пароля для порушення облікового запису орендаря тесту. Згодом вони використовували цю опору для доступу до обмеженої кількості торгових облікових записів Microsoft корпоративних електронних листів, включаючи вищі керівництва та персонал у кібербезпеці, юридичних та інших відділах, оформлення електронних листів та доданих документів. Спочатку зосереджувався на вилученні інформації, що стосується півночі хуртовики, їх діяльність розширилася на несанкціоновані спроби доступу щодо сховища вихідних кодів компанії та внутрішніх систем. Стійкий та добре узгоджений характер нападу опівночі хуртовики підкреслює значне зобов’язання ресурсів та стратегічної спрямованості, потенційно спрямованої на розвідку на підвищення майбутніх атак.
Спостережувані методи нападу
T1588.002: Отримати можливості – інструмент, T1548.002: Механізм контролю висоти зловживання – контроль облікових записів користувачів обходу, T1552.004: незабезпечені облікові записи – приватні ключі, T1078.002: Дійсні облікові записи – доменні облікові записи, T1110.003: Brute Force – Розпилення пароля, T1203: експлуатація для виконання клієнта, T1595: Активне сканування
Нещодавно дослідники розкрили іншу кампанію на чолі з APT29, орієнтованим на політичні партії в Німеччині, помітний відхід від їх типової уваги на урядові та дипломатичні утворення. APT29, використовував фішинг -кампанію наприкінці лютого 2024 року, ввівши новий варіант заднього під назвою Wineloader, що сигналізує про розширений оперативний обсяг. Фішинг -електронні листи, що представляють запрошення на прийом обіду християнського демократичного союзу (ХДС), були розповсюджені, що містять посилання на шкідливі поштові файли, розміщені на компрометованих веб -сайтах. Ці поштові файли доставили крапельницю Rootsaw, яка розгорнула корисну навантаження Wineloader. Це знаменує першу екземпляр APT29, орієнтованої на політичні партії, підкреслюючи зміну їхніх інтересів. Backdoor Wineloader, який раніше спостерігався в січні 2024 року, ділиться рисами з іншими зловмисними програмами APT29, що говорить про загальне походження. Орієнтація на політичні партії становить потенційну загрозу для європейських та західних політичних організацій, зокрема на тлі постійного конфлікту між Росією та Україною. Послідовне засудження російської агресії та її підтримка в Україні робить її можливою мішенню для суб’єктів російських загроз, які прагнуть проникнути в політичні системи для збору розвідки, доповнюючи дані, отримані з урядових відомств. Розуміння цілей та стратегічних міркувань цих акторів є першорядним у передбаченні їх потенційних дій.
Спостережувані методи нападу
T1543.003: Сервіс Windows, T1012: Реєстр запитів, T1082: Відкриття системи системи, T1134: Маніпуляція маркерів доступу, T1057: Відкриття процесів, T1007: Відкриття системи системи, T1027: Окуптовані файли або інформація, T1070.004: Видалення файлів, T1055 .003: Викрадення виконання потоку, T1083: Відкриття файлів та каталогів
Gamaredon Group
Дуже витончена російська передова загроза (APT) ініціювала ретельно сплановану кампанію атаки Пауершелла, спрямовану на українські військові, демонструючи історію стійких націлювання, керованих геополітичними, шпигунствами та руйнівними мотивами. Використовуючи тонкі клапки на основі PowerShell Backdoor, суб’єкти загрози проникають і компрометують цільові системи, що дозволяє несанкціонований доступ, виконання команд та постійну присутність у компрометованих мережах. Стратегія нападу передбачає розповсюдження шкідливих корисних навантажень за допомогою стиснених файлів, розподілених за допомогою фішинг -електронних листів, з розповсюдженням шкідливих програм та бічним рухом, полегшеним через USB -накопичувачі, обходячи потребу в прямому доступі до мережі. Що відрізняє тонкі клапки,-це його залежність від стажування поза дискотмом/PowerShell для виконання, ухилення від традиційних бінарних корисних навантажень та застосування вдосконалених методик затуманення та ухилення, таких як кодування, розщеплення командування та наполегливість на основі регістру. Встановлення команди та управління (C2) за допомогою Telegram Communication з віддаленим сервером, група адаптує свої методи, використовуючи запити DNS та HTTP -запити з динамічно збереженими IP -адресами. Атака ініціюється виконанням зловмисного ярлика (.lnk), що викликає завантаження та виконання нового коду корисного навантаження PowerShell Backdoor, вбудованого в інший файл в межах того ж стисненого архіву.
Спостережувані методи нападу
T1027.010: Окуптовані файли або інформація: Зниження команди, T1070.004: Видалення індикатора – Видалення файлів, T1140: Deobfuscate/Decode Файли або інформація, T1059.001: Команда та інтерпретатор Scripting – PowerShell, T1204.001: Виконання користувача – Слави – зловмисне. Посилання, T1547.001: Виконання Autostart завантаження або входу – клавіші реєстру / папка запуску, T1132.001: Кодування даних – Стандартне кодування, T1573: зашифровано
Apt28
APT28 спостерігається, використовуючи компрометовані Ubiquiti Edgerouters для виявлення обходу, спонукаючи спільну консультацію з ФБР, НСА, Кібер -командування США та міжнародних партнерів. Використання цих широко використовуваних маршрутизаторів дозволяє APT28 будувати широкі ботнети, полегшуючи крадіжку облікових даних, дайджестів NTLMV2 та проксі зловмисного руху. Більше того, ці викрадені маршрутизатори служать господарями для спеціальних інструментів та фішинг -цільових сторінок у прихованих кібер -операціях, спрямованих на різні суб’єкти у всьому світі, включаючи військові та уряди. Зважаючи на те, що Edgerouters часто оснащені обліковими записами за замовчуванням та мінімальним захистом брандмауера в поєднанні з відсутністю автоматичних оновлень прошивки, вони представляють вразливості, що використовуються APT28. Завдяки кореневому доступу до компрометованих маршрутизаторів, APT28 отримує необмежений доступ до операційних систем на основі Linux, що дозволяє їм встановлювати інструменти та придушити свої особисті під час зловмисних кампаній. Дослідження ФБР про компрометовані маршрутизатори розкрили інструменти та артефакти APT28, включаючи сценарії Python для крадіжок облікових даних веб -пошти, програми для збирання дайджестів NTLMV2 та власні правила маршрутизації, що відволікають фішинг -трафік до спеціальної інфраструктури атаки. Російські хакери мають досвід зосередження уваги на Інтернет-маршрутизаційному обладнанні як засобу для здійснення нападів у середній середній, підтримку шпигунських кампаній, встановлення постійного доступу в мережах жертв та закладання основи для подальших наступальних операцій.
Спостережувані методи нападу
T1587: Розвиток можливостей, T1588: Отримати можливості, T1584: Компромісна інфраструктура, T1566: Фізинг, T1203: експлуатація для виконання клієнта, T1546: Подія, що викликає експлуатацію, T1557: Adversary-In-S-Middle, T1556: Modify Authantication, T1119: Автоматизована колекція, T1020: Автоматизована ексфільтрація
Крім того, коли організації проходять зусилля з модернізації, переходячи до хмарної інфраструктури, SVR наполегливо адаптувався до цього розвиваючого оперативного ландшафту. Відійшовши від традиційних методів початкового доступу, таких як використання вразливості програмного забезпечення в локальних мережах, вони безпосередньо змістили свою увагу на орієнтації на хмарні послуги.
Китайська влучна діяльність
Цілеспрямована країна - Тайвань
- Гонконг
- Австралія
- Європа
- Африка
- Індія
- Сполучені Штати
- Цільова технологія
Оперативна технологія - Windows
- Linux
- Мобільна платформа
- Системи промислового контролю
- Сервери Microsoft Exchange
Цільові галузі - Теле-комунікації
- Виробництво
- електричний
- енергія
- Транспорт
- Освіта
- Фінанси/страхування
- Фонд/НУО/ДУМАЛЬНІСТЬ
- Охорона здоров’я
- Це
- ЗМІ
- Нерухомість
- Роздрібна торгівля
- Спорт
- Туризм
Земля Луска
Наприкінці лютого 2024 року дослідники розкрили нову кампанію, організовану Актором загрози, пов’язаною з Китаєм Земля Луска, відомою своєю тактикою, що розвивається, щонайменше з 2020 року. Ця нещодавня операція використовувала напругу між Китаєм та Тайвані, використовуючи документ про приманку, що обговорює геополітичні проблеми для зараження цілеспрямовані суб’єкти. Кампанія, яка, як вважається, активна з грудня 2023 року по січень 2024 року, підозрюється, що розпочається за допомогою електронних листів із списом, що містить зловмисний архівний файл під назвою “Warfare China_s Grey Zone проти Taiwan.7z”. Архів включає два файли ярликів Windows (.lnk) та підпапку “__macos”, що нагадує законний каталог MacOS “__macosx”. Однак ця підпапна приховує шкідливе корисне навантаження, що містить файли JavaScript “_params.cat.js” та “_params2.cat.js”. На першому етапі файли LNK виконують код JavaScript з “__macos”, приховуючи шлях сценарію з 255 космічними символами. Згодом у другому етапі використовується JavaScript Packer Діна Едварда для обдуману. Третій етап передбачає випадання текстового файлу з підписом файлу шафи Microsoft та розшифровання шістнадцяткового рядка для розпакування архіву шафи. Цей архів містить файли приманки, підписаний законний виконуваний файл (pfexec.exe) та шкідлива бібліотека DLL. Нарешті, бібліотека DLL функціонує як без стацького корисного навантаження кобальту, що містить помітні параметри з вбудованої конфігурації. Крім того, просочений набір даних, пов’язаний з китайською компанією I-SOON, виявив перекриття в націлюванні на жертву, використанням зловмисного програмного забезпечення та географічним розташуванням із Землею Луск, що передбачає потенційну співпрацю або спільні ресурси між двома суб’єктами. Це підкреслює витонченість та взаємопов’язану природу суб’єктів загрози, що діють у кібер -ландшафті.
Спостережувані методи нападу
T1566.002: Посилання на побиття Spear T1059.003: Команда Windows Command T1059.007: JavaScript T1204.001: Зловмисне посилання T1204.002: Зловмисний файл T1140: Deobfauscate/Decode Files або інформація T1564.001: Приховані файли та каталоги T1574. 001: DLL -пошук замовлення викрадення T1202: Непряме виконання команди T1036.007: Подвійне розширення файлу T1027.002: Упаковка програмного забезпечення T1027.009: Вбудована корисна навантаження T1027.012: контрабанда значків LNK T1083: Файл та каталог Discover Захищування T1573: зашифрований канал T1041: Екзфільтрація над C2 -каналом
Ухильна панда
На початку березня 2024 року дослідники розкрили кібереспіонасу, яку проводила китайська група APT Group Panda, також відома як бронзовий нагір’я, яка активна з 2012 року, орієнтована на людей та урядові структури в Китаї, Гонконзі та Південно -Східній Азії. Ця нещодавня кампанія спеціально націлила на тибетців у різних країнах та територіях, використовуючи фестиваль Монлама, релігійне зібрання, як фокус. Ухильна панда порушила веб-сайт організатора фестивалю, Kagyu International Monlam Trust, щоб провести напади на поливу, спокушаючи користувачів завантажувати шкідливі файли, замасковані під виправлення. Крім того, вони поставили під загрозу ланцюг поставок тибетської програмної компанії, розповсюджуючи трояналізовані інсталятори програмного забезпечення для перекладу тибетської мови. Зловмисників бачать націлювання на користувачів в Індії, Тайвані, Гонконзі, Австралії та США. Вони розгорнули різні зловмисні інструменти, включаючи MGBOT, модульну задню, що сприяє шпигунству та вдосконаленому доступу, а також нещодавно виявлену задню назву Nightdoor, вперше спостерігається в 2020 році. Nightdoor спілкується зі своїм командуванням та контролем (C&C) через API Google Drive,, Шифрування комунікації за допомогою маркера OAuth 2.0.
Спостережувані методи нападу
T1583.004: придбайте інфраструктуру: сервер T1583.006: придбайте інфраструктуру: веб -сервіси T1584.004: компромісна інфраструктура: сервер T1585.003: Встановлення облікових записів: хмарні облікові записи T1587.001: Розробка можливостей: Зловмисне програмне забезпечення T1588.003: Отримання можливостей: Кодекси Сертифікати підписання T1608.004: Етапні можливості: привід за цільовою T1189: компроміс з приводом T1195.002: Ланцюжок поставок: компромісне програмне забезпечення ланцюг поставок T1106: Native API T1053.005: Заплановане завдання/завдання: Заплановане завдання T1543.003: Створіть або модифікуйте системний процес: Windows Service T1574.002: Викрадання викрадення Потік: DLL-бік завантаження T1140: DEOBFUSCATE/DECODE Файли або інформація T1562.004: Захист захисту: Вимкніть або змінюйте системний брандмауер T1070.004: Видалення індикатора: Видалення файлу T1070 .009: Видалення індикатора: чітка наполегливість T1036.004: Маскарадінг: Маскарадне завдання або служба T1036.005: Маскарадування: відповідність законного імені або місця розташування T1027.009: Затуплена файли або інформація: Вбудовані корисні навантаження T1055.001: Ін’єкція процесу: Динамічна-ланка Введення бібліотеки T1620: Рефлексивне завантаження коду T1083: Відкриття файлів та каталогів T1057: Discovery Discovery T1012: Реєстр запитів T1518: Discovery Discovery T1033: Archive власник/користувач користувача T1082: Системна інформація Discovery T1560: Зібрані дані T1119: Автоматизована колекція T1005: з даних із даних із даних з Локальна система T1074.001: Поетапі даних: Локальна постановка даних та управління T1071.001: Протокол рівня додатків: Веб-протоколи T1095: Протокол рівня не застосування T1102: Веб-сервіс T1020: Автоматизована ексфільтрація
Земля Краханг
У першому кварталі 2024 р. Дослідники виявили постійну влучну кампанію, пов’язану з землею Крахангу, складним актором загрози, пов’язаній з Китаєм, операційною з початку 2022 року. Європа, Америка та Африка. Хоча незалежні від Землі Луска, іншого актора, пов’язаного з Китаєм, вони поділяють певну інфраструктуру та методології. Використовуючи складні методи, Земля Каханг використовує вразливості на серверах, що означають публічні роботи, використовуючи інструменти сканування з відкритим кодом, такі як SQLMAP, ядра, Xray та WordPressScan, проводячи рекурсивні пошуки та каталоги грубої форми для чутливої інформації. Вони використовують вразливості, такі як CVE-20123-32315 та CVE-2012-21587, та фішинг-електронні листи SPEAR з вкладеннями або посиланнями геополітичних тем для початкового доступу. Використання довіри між урядами бачить Землю Краханг, використовуючи компрометовані урядові сервери та електронні рахунки, часто використовуючи законні урядові домени для розміщення на задньому плані та надсилання електронних листів для ухилення від спису для ухилення. Діяльність після експлуатації включає встановлення Softether VPN, дозволу на віддалених настільних з’єднань та доступ до облікових даних через Mimikatz або Procdump, з бічним рухом за допомогою WMIC та ескалації привілеїв за допомогою вразливості в Windows та Linux Systems. Напади грубої сили на обмінних серверах та інструментах, таких як лінійка, сприяють компрометації облікових записів електронної пошти для ексфільтрації. Їх стратегія націлювання охоплює урядові організації як основні цілі, з особливим акцентом на міністерствах закордонних справ, поряд із такими секторами, такими як освіта, телекомунікації, поштове відділення, логістичні платформи та служби роботи.
Спостережувані методи нападу
T1595.001: Активне сканування: сканування IP -блоків T1595.002: Активне сканування: Сканування вразливості T1595.003: Активне сканування: Сканування списку слів T1592: Зберіть Інформацію про господаря жертви T1590: Зберіть Інформація про жертву T1583.001: Отримайте інфраструктуру: Доменс T1583. 003: придбайте інфраструктуру: віртуальний приватний сервер T1586.002: компромісні облікові записи: обліковий запис електронної пошти T1584.004: компромісна інфраструктура: сервер T1588.001: Отримання можливостей: Зловмисне програмне забезпечення T1588.003: Отримання можливостей: Сертифікати підписання коду T1608.001: Етапні можливості: Завантажити зловмисне програмне забезпечення T1608.002: Етапні можливості: Інструмент завантаження T1608.005: Етапні можливості: Посилання Ціль T1190: Використовуйте додаток для публічного побігу T1566.001: Фізинг: Спеціальний фішинг вкладення T1566.002: Фізинг: SPEAR PHINGHON T1199: Довірені відносини T1078 : Дійсні облікові записи T1059.001: Команда та інтерпретатор сценаріїв: PowerShell T1059.003: Команда та інтерпретатор сценаріїв: Команда Windows Command T1203: експлуатація для виконання клієнта T1569.002: Системні послуги: Виконання послуг, T1204.002 T1047: Інструмент управління Windows T1543.003: Створіть або модифікуйте системний процес: Windows Service T1133: Зовнішні віддалені послуги T1053.005: Заплановане завдання/завдання: Заплановане завдання T1505.003: компонент сервера: Веб -оболонка T1068: Виставка для ескалації привілею T1078 .003: Дійсні облікові записи: локальні облікові записи T1140: deobfuluscate/decode файли або інформація T1574.002: Виконання викрадення: DLL-бік завантаження T1036.005: Маскарадінг: відповідність законного імені або місцезнаходження T1112: Модифікування реєстру T1539: крадіжок веб-сеансу T1087 .001: Відкриття облікового запису: локальний обліковий запис T1087.002: Відкриття облікового запису: Обліковий запис домену T1069.002: Групи дозволів Відкриття: Групи домену T1057: Відкриття процесу T1033: Власник системи/Відкриття користувача T1007: Відкриття системи системи T1210: Використання віддалених послуг T1534 : Внутрішня фішинг Spear T1021.006: Віддалені послуги: Віддалене управління Windows T1119: Автоматизована колекція T1071.001: Протокол рівня додатків: Веб -протоколи T1573.001: зашифрована канал: симетрична криптографія T1020: Автоматизована ексфільтрація
Північна Корея влучна діяльність
Цілеспрямована країна - Південнокорейський
Цільова технологія - Windows
- Програмне забезпечення
Цільові галузі - Уряд
Кімсукі, оксамитова холліма
На початку Q1 2024 р. Дослідники відзначили значну еволюцію в тактиці, використаній групою акторів Кімсукі, також визнана чорним баншем або таллієм, що походить з Північної Кореї та активно принаймні 2012 року. Дослідники спостерігали помітну зміну в Підхід Кімсукі, що включає передові методи, щоб обійти сучасні заходи безпеки. Спочатку зосереджувався на орієнтації на урядові уряди Південної Кореї та осіб, пов’язаних з процесом об’єднання Корейського півострова, Кімсукі розширив свою діяльність у регіоні APAC, включаючи такі країни, як Японія, В’єтнам та Таїланд. Їх остання кампанія демонструє використання файлів CHM, розподілених у різних контейнерах, таких як ISO, VHD, ZIP або RAR, що дозволяє їм ухилитися від початкових бар’єрів безпеки. Після виконання ці файли CHM ініціюють виконання VBScript через ActiveX, сприяючи наполегливості за допомогою модифікацій реєстру. Крім того, вони застосовують методики, що стосуються земля, використовуючи WMI для збору деталей системи та розправлення даних для віддалених серверів, закодованих у форматі Base64.
Спостережувані методи нападу
T1059.003: Команда та інтерпретатор сценаріїв: Windows Command Shell T1547.001: Boot або Logon Autostart Виконання: Реєстр запустіть клавіші / Папка запуску T1041: Exfiltration Over C2 Channel T1036: Massquerading T1082 Discovery T1566.001: Фізінг Вкладення
Крім того, наприкінці лютого 2024 року дослідники виявили Toddlershark, зловмисне програмне забезпечення, що нагадує Babyshark, пов’язаний з Кімсукі. Використання вразливостей Screenconnect CVE-2014-1708 та CVE-2014-1709 зловмисники отримали доступ та завантажили сильно обурені корисні навантаження на сценарії VB. Ці корисні навантаження, постійно змінюючи код та URL -адреси, ухиляються від виявлення. Зловмисне програмне забезпечення модифікує ключі реєстру, щоб забезпечити недовірені макроси, сприяючи потенційним майбутнім атакам. Основна його функція – крадіжка інформації, використовуючи кілька екземплярів CMD.EXE для зйомки деталей системи, включаючи мережу, програмне забезпечення безпеки та запущені процеси. Захоплені дані кодуються у форматі PEM та exfiltrated через сервери С2, методика, яку раніше використовували Кімсукі. Зловмисне програмне забезпечення також встановлює заплановані завдання для подальшої доставки корисного навантаження. Подібність у коді та функціональності говорить про те, що Toddlershark – це варіант BabyShark.
Спостережувані методи нападу
T1132.001: Кодування даних: Стандартне кодування T1053.005: Заплановане завдання/завдання: Заплановане завдання T1218.005: Система Бінарне виконання проксі: MSHTA T1027.010: Захищені файли або інформація: Команда Захищування T1059.003: Команда та інтерпретатор скриптінгу: перекладач: Command Windows Shell
У той же час дослідники виявили нове зловмисне програмне забезпечення під назвою “Troll Sealer”, який, як вважають, є з групи Кімсукі, розповсюдженої за допомогою сторінки завантаження програми безпеки в Південній Кореї. Зловмисне програмне забезпечення, написане мовою GO, працює як крадіжок інформації, замасковане в крапельниці на ім’я TrustPki Installer від SGA Solutions. Обидва крапельниці та зловмисного програмного забезпечення підписуються з законним сертифікат від “D2Innovation Co., Ltd”, що вказує на потенційну крадіжку сертифікатів. Troll Sealer орієнтований на південнокорейські адміністративні та державні організації, свідчить про його здатність вкрасти папки GPKI. Його функціональні можливості включають крадіжку SSH, Filezilla, браузера, системної інформації та захоплення екрана, надсилаються на сервер C&C після шифрування, використовуючи алгоритми RC4 та RSA. Крім того, був ідентифікований, підписаний з тим самим сертифікат, на основі GO, що на основі GO, додавання функціональності проксі-сервера Socks5, можливо, що вказує на розширені можливості групи Kimsuky або співпраця з іншими суб’єктами загрози. Повторне використання мутексів та подібності коду додатково підтримують атрибуцію до групи Кімсукі.
Спостережувані методи нападу
T1588.004: Отримати можливості: Цифрові сертифікати T1204.002: Виконання користувача: Зловмисний файл T1059.001: Команда та інтерпретатор сценаріїв: PowerShell T1059.003: Команда та інтерпретатор сценарію: Windows Command T1027.002: Окуптовані файли або інформація: Програмне забезпечення: Програмне забезпечення: Програмне забезпечення: Програмне забезпечення: Програмне забезпечення Упаковка T1555.003: облікові дані з магазинів паролів: облікові дані з веб -браузерів T1539: Крадіжка веб -сеансу cookie T1057: Discovery T1087.001: Відкриття облікового запису: локальний обліковий запис T1083: Файлові та каталоги Discovery T1518.001: Discovery Software: Програмне забезпечення Discovery T1082 : Відкриття системи системи T1016: Конфігурація системної мережі DISCOVERY T1005: Дані з локальної системи T1113: Знімок екрана T1560: Архів зібраних даних T1071.001: Протокол шару програми: Веб -протоколи
Наприкінці Q1 2024 р. Дослідницька група виявила складну багатоступеневу атакуючу кампанію під назвою Deep#Gosu, яка приписувалася групі Кімсукі. Ця кампанія використовує передові методи, включаючи стажисті PowerShell та VBScript, щоб мовчки проникнути в системи та підтримувати стійкість. Використання законних служб, таких як Dropbox для командування та управління зв’язком, дозволяє зловмисникам змішуватися в звичайний мережевий трафік та ухилення від виявлення. Початковий етап включає файли ярликів (.lnk), що містять вбудовані сценарії PowerShell, які виконують вбудований документ про приманки PDF під час завантаження подальшого шкідливого коду з Dropbox.
Подальші етапи тягнуть за собою виконання завантажених корисних навантажень, включаючи троянський доступу Trurat (RAT), поряд із додатковими сценаріями PowerShell та VBScript для перерахування системи, кейлогуг, моніторингу буфера обміну та ексфільтрації даних. Використання методів шифрування та динамічного завантаження корисного навантаження посилює ухилення від виявлення та аналізу, демонструючи високий рівень витонченості та труднощів у пом’якшенні. Можливості зловмисного програмного забезпечення охоплюють кейлогуг, віддалений доступ до робочого столу, шпигунство мікрофона та камери та управління паролем, що вказує на його потенціал для широкого спостереження та контролю над зараженими системами. Ця кампанія демонструє наполегливість та складність за допомогою комбінації програмного забезпечення PowerShell, VBScript та щурів, спрямованих на ухилення від традиційних заходів безпеки, зберігаючи при цьому прихований доступ до порушених систем.
Спостережувані методи нападу
T1027.010: Заплющені файли або інформація: Команда Захищена T1070.004: Видалення індикатора: Видалення файлу T1140: Deobfuluscate/Decode Файли або інформація T1057: Discovery Process T1082: Системна інформація Discovery T1083: Файлові відкриття T105.001: команда та сценарій Інтерпретатор: PowerShell T1059.005: Команда та сценарії інтерпретатор: Visual Basic T1204.001: Виконання користувача: Malicious Link T1567.002 – Exfiltration над веб -службою: Exfiltration до хмарного зберігання T1053 – Заплановане завдання/завдання T1102: Веб -служба T1132.001: Кодування даних: Стандартне кодування T1219 – Програмне забезпечення для віддаленого доступу T1573: зашифрований канал T1115 – Дані буфера обміну T1056.001 – Захоплення вводу: Keylogging
Lazarus Group, Hidden Cobra, Labyrinth Chollima
У березні 2024 р. Дослідники спостерігали значний прогрес у тактиці та методах групи Lazarus Aka Hidden Cobra, північнокорейського актора загрози. Вони експлуатували вразливість привілеїв ядра ядра Windows, CVE-20124-21338 під час нападу нульового дня, посилюючи свій Fudmodule Rootkit з новою функціональністю. Цей оновлений Rootkit безпосередньо маніпулює об’єктами ядра, використовуючи техніку маніпуляції таблиці ручки для призупинення захищених процесів захищених процесів (PPL), пов’язаних з Microsoft Defender, Crowdstrike Falcon та HitmanPro. Lazarus також відключив вирішальні функції безпеки, такі як зворотні дзвінки та зворотні виклики для об’єктів для ухилення від виявлення продуктів безпеки. Крім того, Rootkit націлений на конкретні антивірусні програми та відключає зворотні зворотні зворотні дзвінки для ефективного розгортання зловмисних драйверів. Ці просування підкреслюють технічну витонченість Лазара та висвітлюють постійний виклик, який поставила ця передова група наполегливих загроз.
Спостережувані методи нападу
T1068: експлуатація для ескалації привілеїв T1190: Використовуйте заявку на публічне повідомлення T1112: Змініть реєстр T1574.013: Виконання викрадення: Kernelcallbacktable T1014: ROORKIT T1562.001: Захисті
Крім того, дослідники також зауважили, що хакерська група Lazarus націлила офіційне сховище пакетів Python, PYPI, випустивши чотири шкідливі пакети: Pycryptoenv, Pycryptoconf, Quasarlib та Swapmempool. Ці пакети, схожі в назві з законним пакетом шифрування Pycrypto, були розроблені для використання потенційних помилок під час встановлення. Вони містять кодовані файли DLL, замасковані як тестовий сценарій. Після розшифровки кодований файл DLL виконує зловмисне програмне забезпечення під назвою Rettebacker, який встановлює з’єднання за допомогою сервера команд та контролю. Ця методика відображає попередні напади Лазару, включаючи одну в січні 2021 року, спрямовані на дослідників безпеки. Зловмисне програмне забезпечення активується на цільовій машині за допомогою сценарію Python, в кінцевому рахунку виконуючи шкідливе корисне навантаження. Rettebacker надсилає запити HTTP Post на свої сервери командно-контрольного та отримує у відповіді файли Windows виконувані файли. Ця атака узгоджується з більш широкою стратегією розповсюдження зловмисного програмного забезпечення Лазаря на декількох сховищах пакетів.
Висновок
У 1 кварталі 2024 р. У APT ландшафт демонстрував посилення зусиль іранських, російських, китайських та північнокорейських кібер -акторів. Іранські групи, такі як правосуддя батьківщини та монетний двір, посилили свою діяльність з витонченими нападами на національні та академічні цілі, тоді як російські утворення, такі як Нобелія та Гамаредон, відточили свою тактику проти високоцінних корпоративних та військових цілей. Китайські суб’єкти загрози, включаючи Землю Луску та ухильну панду, використовують геополітичні заходи для розгортання передових багатоступеневих зловмисних програм, розширюючи свій шпигунський слід у всьому світі. Тим часом, північнокорейські групи, такі як Кімсукі та Лазар, продемонстрували розширені можливості в багатоступеневих атаках, орієнтуючись на напади ланцюгів поставок та експлуатацію вразливості нульового дня. Діяльність цього кварталу підкреслює необхідність постійного посилення захисту кібербезпеки та міжнародної співпраці для вирішення загроз, що розвиваються, створюються цими суб’єктами, що спонсоровували державу.