Когда-то давным-давно, несколько месяцев назад, мы написали серию постов про ведущую северокорейскую APT Lazarus и обещали продолжить ее материалами про другую хакерскую группу, работающую на спецслужбы КНДР и носящую название Kimsuky. Однако, тогда не срослось.
И вот теперь мы решили выполнить обещание и дать краткий обзор активности этой APT в несколько постов.
Напомним как связаны Lazarus и Kimsuky. Эти хакерские группы работают на разные департаменты Главного разведывательного бюро (RGB) Генштаба Народной армии Северной Кореи. Lazarus работает на 3-й Департамент RGB aka Bureau 121, который специализируется на технической разведке, а Kimsuky функционирует под контролем 5-го Департамента RGB aka Bureau 35, занимающегося разведкой зарубежной.
И хотя по масштабу своей деятельности Kimsuky (она же Velvet Chollima, она же Thallium, она же Black Banshee) не сравнится со своими коллегами из технической разведки, тем не менее в ее багаже есть немало интересных киберопераций.
Впервые северокорейская APT была обнаружена в 2013 году, как ни странно, Касперскими. Однажды в сети южнокорейского think-tank исследователи нашли шпионский вредонос, в коде которого содержались корейские иероглифы и который для связи использовал публичный болгарский почтовый сервер. Среди целей malware значились ведущие южнокорейские исследовательские центры, связанные с национальной безопасностью и оборонкой, а также Министерство объединения Южной Кореи, разрабатывающее политику в отношение КНДР.
Предполагаемым способом заражения был целевой фишинг. По своему функционалу вредонос представлял собой полноценный шпионский RAT (троян удаленного доступа), способный собирать различную информацию с зараженной машины, а также обеспечивать удаленное управление. Связь и эксфильтрация украденной информации осуществлялась посредством обмена электронной почтой между ящиками на болгарском сервере mail.bg.
Кстати, при изучения функционала вредоноса по обходу анивирусных решений Касперские нашли любопытную вещь — RAT сосредотачивался на обходе антивирусного ПО исключительно производства южнокорейской компании AhnLab. Все дело в том, что регуляторные органы Южной Кореи занимали достаточно жесткую позицию в части максимального сокращения использования внутри страны антивирусов иностранного производства. Зная это, авторы найденного вредоноса даже не пытались обходить другие средства защиты кроме AhnLab.
Ряд признаков, такие как выбор целей, использование корейского языка, IP-адреса, принадлежащие работающему с КНДР китайскому провайдеру, позволяли с большой долей уверенности утверждать, что хакерская группа, стоящая за распространением вредоноса, который Касперские назвали Kimsuky, базируется в Северной Корее. Впоследствии, как это часто бывает, по названию malware стали именовать и саму группу — Kimsuky.
Почему Kimsuky? Один из используемых хакерами почтовых ящиков был зарегистрирован на имя kimsukyang. Поэтому исследователи и присвоили RAT такое название.
#APT #Kimsuky
И вот теперь мы решили выполнить обещание и дать краткий обзор активности этой APT в несколько постов.
Напомним как связаны Lazarus и Kimsuky. Эти хакерские группы работают на разные департаменты Главного разведывательного бюро (RGB) Генштаба Народной армии Северной Кореи. Lazarus работает на 3-й Департамент RGB aka Bureau 121, который специализируется на технической разведке, а Kimsuky функционирует под контролем 5-го Департамента RGB aka Bureau 35, занимающегося разведкой зарубежной.
И хотя по масштабу своей деятельности Kimsuky (она же Velvet Chollima, она же Thallium, она же Black Banshee) не сравнится со своими коллегами из технической разведки, тем не менее в ее багаже есть немало интересных киберопераций.
Впервые северокорейская APT была обнаружена в 2013 году, как ни странно, Касперскими. Однажды в сети южнокорейского think-tank исследователи нашли шпионский вредонос, в коде которого содержались корейские иероглифы и который для связи использовал публичный болгарский почтовый сервер. Среди целей malware значились ведущие южнокорейские исследовательские центры, связанные с национальной безопасностью и оборонкой, а также Министерство объединения Южной Кореи, разрабатывающее политику в отношение КНДР.
Предполагаемым способом заражения был целевой фишинг. По своему функционалу вредонос представлял собой полноценный шпионский RAT (троян удаленного доступа), способный собирать различную информацию с зараженной машины, а также обеспечивать удаленное управление. Связь и эксфильтрация украденной информации осуществлялась посредством обмена электронной почтой между ящиками на болгарском сервере mail.bg.
Кстати, при изучения функционала вредоноса по обходу анивирусных решений Касперские нашли любопытную вещь — RAT сосредотачивался на обходе антивирусного ПО исключительно производства южнокорейской компании AhnLab. Все дело в том, что регуляторные органы Южной Кореи занимали достаточно жесткую позицию в части максимального сокращения использования внутри страны антивирусов иностранного производства. Зная это, авторы найденного вредоноса даже не пытались обходить другие средства защиты кроме AhnLab.
Ряд признаков, такие как выбор целей, использование корейского языка, IP-адреса, принадлежащие работающему с КНДР китайскому провайдеру, позволяли с большой долей уверенности утверждать, что хакерская группа, стоящая за распространением вредоноса, который Касперские назвали Kimsuky, базируется в Северной Корее. Впоследствии, как это часто бывает, по названию malware стали именовать и саму группу — Kimsuky.
Почему Kimsuky? Один из используемых хакерами почтовых ящиков был зарегистрирован на имя kimsukyang. Поэтому исследователи и присвоили RAT такое название.
#APT #Kimsuky
В следующий раз Kimsuky выступили в конце 2014 года и шоу получилось громким. Они взломали сеть южнокорейской компании Korea Hydro and Nuclear Power (KHNP), являющейся оператором 23 ядерных реакторов в Южной Корее. И хотя власти сразу же заявили, что пострадали только «некритические» сегменты сети, вскоре стало ясно, что хакеры ухитрились украсть массу конфиденциальной информации, хотя и не смогли добраться до технологических сетей.
Kimsuky стали разыгрывать ту же сценку, которую ранее в 2014 году показали Lazarus при взломе Sony Pictures Entertainment, - изображать из себя долбанутых борцов за что-то там, которые осуществили взлом из идеологических соображений. Lazarus представлялись хакерской группой Guardians of Peace, а Kimsuky завели от имени «борцов с ядерной энергетикой с Гавайских островов» Twitter-аккаунт «Who am I = No Nuclear Power», в котором начали сливать украденные у KHNP сведения.
Для начала хакеры опубликовали персональные данные сотрудников компании и несколько конфиденциальных документов, среди которых были руководство по управлению ядерными реакторами Wolsong и чертежи трубопровода реактора Wolsong №1. После этого «борцы с ядерной энергетикой» потребовали закрыть к католическому Рождеству три ядерных реактора, иначе они продолжат публикацию украденных данных. Естественно, что реакторы никто закрывать не стал.
В марте северокорейские разведчики продолжили веселиться в стиле офицера-контрразведчика из фильма ДМБ - «денег предлагал, но не дал». Они опубликовали в том же Twitter требование денежной выплаты за приостановку дальнейшей публикации информации KHNP, но ни способа передачи денег, ни даже требуемую сумму не указали. В конце концов Kimsuky слили в Twitter чертежи южнокорейского атомного реактора 1400.
Доподлинно неизвестно, было ли все это запланировано с самого начала или северокорейцы импровизировали по ходу дела, после того как не сумели пробиться к технологичесим сетям KHNP. Но звон по Южной Корее пошел что надо.
После этого Kimsuky ушли в тину на долгих четыре года. По крайней мере, никто не смог с достаточной степенью достоверности идентифицировать их активность. А в 2018 году они вернулись с операциями BabyCoin и MysteryBaby, в ходе которых пытались внедрить инфостилеры на компьюетры южнокорейских пользователей. Однако, мы не будем на них останавливаться, там нет ничего особенного.
Между этими операциями северокорейские хакеры ухитрились очень неловко напасть на академические учреждения США, эта кибероперация получила название Stolen Pencil. Неловкость заключалась в низком техническом уровне атаки, в ходе которой, к примеру, для осуществления удаленного доступа хакеры использовали Microsoft RDP (удаленный рабочий стол), а не какой-нибудь RAT. В одном случае корейский оператор, видимо с устали, забыл переключить назад корейскую раскладку клавиатуры. Вместе с тем, возможно, что за такой стояла не Kimsuky, а другая, менее скилованная, хакерская группа.
С конца 2018 по весну 2019 года Kimsuky атаковали американские исследовательские институты, специализирующиеся на вопросах денуклеаризации. В ходе атаки они использовали оригинальный вредонос BabyShark, который распространялся посредством фишингового письма от имени реально существующего в США специалиста по ядерным технологиям. Спустя пару месяцев атака распространилась на компании, связанные с криптовалютами. Подобное поведение по смешиванию кибершпионажа и коммерческого взлома вообще свойственно северокорейским APT, которые периодически испытывают затруднения с финансированием. Достаточно вспомнить Lazarus с их попыткой украсть миллиард долларов.
Продолжение следует.
#APT #Kimsuky
Kimsuky стали разыгрывать ту же сценку, которую ранее в 2014 году показали Lazarus при взломе Sony Pictures Entertainment, - изображать из себя долбанутых борцов за что-то там, которые осуществили взлом из идеологических соображений. Lazarus представлялись хакерской группой Guardians of Peace, а Kimsuky завели от имени «борцов с ядерной энергетикой с Гавайских островов» Twitter-аккаунт «Who am I = No Nuclear Power», в котором начали сливать украденные у KHNP сведения.
Для начала хакеры опубликовали персональные данные сотрудников компании и несколько конфиденциальных документов, среди которых были руководство по управлению ядерными реакторами Wolsong и чертежи трубопровода реактора Wolsong №1. После этого «борцы с ядерной энергетикой» потребовали закрыть к католическому Рождеству три ядерных реактора, иначе они продолжат публикацию украденных данных. Естественно, что реакторы никто закрывать не стал.
В марте северокорейские разведчики продолжили веселиться в стиле офицера-контрразведчика из фильма ДМБ - «денег предлагал, но не дал». Они опубликовали в том же Twitter требование денежной выплаты за приостановку дальнейшей публикации информации KHNP, но ни способа передачи денег, ни даже требуемую сумму не указали. В конце концов Kimsuky слили в Twitter чертежи южнокорейского атомного реактора 1400.
Доподлинно неизвестно, было ли все это запланировано с самого начала или северокорейцы импровизировали по ходу дела, после того как не сумели пробиться к технологичесим сетям KHNP. Но звон по Южной Корее пошел что надо.
После этого Kimsuky ушли в тину на долгих четыре года. По крайней мере, никто не смог с достаточной степенью достоверности идентифицировать их активность. А в 2018 году они вернулись с операциями BabyCoin и MysteryBaby, в ходе которых пытались внедрить инфостилеры на компьюетры южнокорейских пользователей. Однако, мы не будем на них останавливаться, там нет ничего особенного.
Между этими операциями северокорейские хакеры ухитрились очень неловко напасть на академические учреждения США, эта кибероперация получила название Stolen Pencil. Неловкость заключалась в низком техническом уровне атаки, в ходе которой, к примеру, для осуществления удаленного доступа хакеры использовали Microsoft RDP (удаленный рабочий стол), а не какой-нибудь RAT. В одном случае корейский оператор, видимо с устали, забыл переключить назад корейскую раскладку клавиатуры. Вместе с тем, возможно, что за такой стояла не Kimsuky, а другая, менее скилованная, хакерская группа.
С конца 2018 по весну 2019 года Kimsuky атаковали американские исследовательские институты, специализирующиеся на вопросах денуклеаризации. В ходе атаки они использовали оригинальный вредонос BabyShark, который распространялся посредством фишингового письма от имени реально существующего в США специалиста по ядерным технологиям. Спустя пару месяцев атака распространилась на компании, связанные с криптовалютами. Подобное поведение по смешиванию кибершпионажа и коммерческого взлома вообще свойственно северокорейским APT, которые периодически испытывают затруднения с финансированием. Достаточно вспомнить Lazarus с их попыткой украсть миллиард долларов.
Продолжение следует.
#APT #Kimsuky
В начале сентября Коммерсант выпустил материал, в котором со ссылкой на Positive Technologies сообщил о том, что китайская APT Winnti активно пытается подломать российские компании, среди которых пять разработчиков банковского ПО и одна строительная фирма. Мы тогда активно бомбили по поводу отсутствия внятной реакции российских госорганов на такую активность китайской хакерской группы.
Что же, американские правоохранители такой прокрастинацией не страдают, поэтому вчера Министерство юстиции США сообщило, что предъявлено обвинение пяти китайским хакерам - Чжану Хаорану, Тану Дайлиню, Цзяну Личжи, Цяню Чуаню и Фу Цяну, которые являются членами APT 41 aka Winnti (APT 41 - это классификация FireEye Mandiat, и, по нашему мнению, это не совсем одна и та же группа, ну да ладно).
Как бы то ни было, американцы отдеанонили пять членов очень активной и профессиональной китайской хакерской группы, работающей на подряде у государства, и теперь, вероятно, объявят их в международный розыск. Причем в сообщении Министерства юстиции прямо говорится, что один хвастался связями с Министерством госбезопасности Китая. Это может означать только одно - американцы вышли на легендированный прямой контакт с членами Winnti, в процессе которого, видимо, и получили доказательную базу.
Утверждается, что китайские хакеры использовали прикрытие в виде фирмы Chengdu 404 Network Technology.
Кроме этого, Министерство юстиции США в сотрудничестве с малазийскими правоохранительными органами захапало двух малазийских же бизнесменов, которые в сговоре с членами Winnti осуществили атаку на американских производителей видеоигр.
Также на основании решения Окружного суда округа Колумбия американцы бахнули используемую Winnti вредоносную инфраструктуру.
Основную скрипку в расследовании, как становится ясно из сообщения американского Минюста, играло ФБР.
Как говаривал товарищ Ленин - "Товарищи чекисты, учитесь делу борьбы с киберпреступностью настоящим образом."
#APT #Winnti
Что же, американские правоохранители такой прокрастинацией не страдают, поэтому вчера Министерство юстиции США сообщило, что предъявлено обвинение пяти китайским хакерам - Чжану Хаорану, Тану Дайлиню, Цзяну Личжи, Цяню Чуаню и Фу Цяну, которые являются членами APT 41 aka Winnti (APT 41 - это классификация FireEye Mandiat, и, по нашему мнению, это не совсем одна и та же группа, ну да ладно).
Как бы то ни было, американцы отдеанонили пять членов очень активной и профессиональной китайской хакерской группы, работающей на подряде у государства, и теперь, вероятно, объявят их в международный розыск. Причем в сообщении Министерства юстиции прямо говорится, что один хвастался связями с Министерством госбезопасности Китая. Это может означать только одно - американцы вышли на легендированный прямой контакт с членами Winnti, в процессе которого, видимо, и получили доказательную базу.
Утверждается, что китайские хакеры использовали прикрытие в виде фирмы Chengdu 404 Network Technology.
Кроме этого, Министерство юстиции США в сотрудничестве с малазийскими правоохранительными органами захапало двух малазийских же бизнесменов, которые в сговоре с членами Winnti осуществили атаку на американских производителей видеоигр.
Также на основании решения Окружного суда округа Колумбия американцы бахнули используемую Winnti вредоносную инфраструктуру.
Основную скрипку в расследовании, как становится ясно из сообщения американского Минюста, играло ФБР.
Как говаривал товарищ Ленин - "Товарищи чекисты, учитесь делу борьбы с киберпреступностью настоящим образом."
#APT #Winnti
www.justice.gov
Seven International Cyber Defendants, Including “Apt41” Actors, Charged In Connection With Computer Intrusion Campaigns Against…
In August 2019 and August 2020, a federal grand jury in Washington, D.C., returned two separate indictments charging five computer hackers, all of whom were residents and nationals of the People’s Republic of China (PRC), with computer intrusions affecting…
Исследователи из индийской инфосек компании Quick Heal опубликовали материал в отношении кибероперации SideCopy, проводимой с начала 2019 года в отношении индийских вооенных учреждений.
Индийцы выявили три вектора атаки, во всех в качестве первичного заражения использовался целевой фишинг. В качестве приманки использовался документ, посвященный политике оборонного производства Индии.
В принципе, ничего выдающегося в SideCopy нет - стандартные приемы APT, кроме одной особенности. Согласно утверждениям индийцев, хакерская группа, стоящая за операцией, частично копирует TTPs индийской же APT SideWinder. В то же время, управляющая инфраструктура и набор инструментов (в том числе описанный ранее Касперскими Crimson RAT) указывают на пакистанскую APT Transparent Tribe. Мы рассказывали про проделки пакистанских хакеров здесь.
По всей видимости, пакистанцы решили потроллить своих индийских визави.
#APT #TransparentTribe
Индийцы выявили три вектора атаки, во всех в качестве первичного заражения использовался целевой фишинг. В качестве приманки использовался документ, посвященный политике оборонного производства Индии.
В принципе, ничего выдающегося в SideCopy нет - стандартные приемы APT, кроме одной особенности. Согласно утверждениям индийцев, хакерская группа, стоящая за операцией, частично копирует TTPs индийской же APT SideWinder. В то же время, управляющая инфраструктура и набор инструментов (в том числе описанный ранее Касперскими Crimson RAT) указывают на пакистанскую APT Transparent Tribe. Мы рассказывали про проделки пакистанских хакеров здесь.
По всей видимости, пакистанцы решили потроллить своих индийских визави.
#APT #TransparentTribe
Blogs on Information Technology, Network & Cybersecurity | Seqrite
Operation SideCopy!
<p>An insight into Transparent Tribe’s sub-division which has been incorrectly attributed for years. Introduction Quick Heal’s threat intelligence team recently uncovered evidence of an advanced persistent threat (APT) against Indian defence forces. Our analysis…
ESET сегодня выпустили отчет о новом вредоносном ПО для Android, которое использует APT-C-23 aka Two-tailed Scorpion (она же Desert Falcons, она же Arid Viper). Словаки назвали его SpyC23.A.
Вредонос имеет расширенный кибершпионский функционал и умеет читать мессенджеры, записывать звонки и изображение экрана, выполнять вызов при наложении черного экрана (чтобы скрыть сам факт вызова), а также обходить антивирусную защиту. Сейчас такие вредоносы модно называть MRAT - Mobile Remote Access Trojan (мы между собой решили называть их мразиш, ну вы в курсе).
Среди способов его распространения - через поддельные магазины приложений для Android. Совместно с MalwareHunterTeam словаки нашли один из таких магазинов - DigitalApps, который содержал как вредоносные, так и легальные Android-приложения.
SpyC23.A был спрятан в установщиках AndroidUpdate, Threema и Telegram. Вредонос устанавливался вместе с полнофункциональными приложениями. Интересно, что загрузка зараженных приложений была возможна только при предоставлении шестизначного кода купона - по всей видимости, для того, чтобы отфильтровать цели для взлома.
Судя по трем операторам сотовой связи (Jawwal, Wataniya, Estisalat), служебные номера которых SpyC23.A использует для получения данных о балансе SIM-карты зараженного устройства, вредонос ориентирован, в первую очередь, на пользователей из стран Ближнего Востока.
Еще из интересного - динамически изменяющиеся управляющие центры SpyC23.A маскируются под сайты, находящиеся на техническом обслуживании и все используют одно и то же изображение-заглушку.
Дадим немного информации о APT-C-23. ESET пишет, что впервые группа была выявлена китайскими исследователями в 2017 году, но это не так. AFAWK, первыми про эту палeстинскую группу, работающую предположительно на ХАМАС, написали в 2015 году исследователи из TrendMicro, когда расследовали кибероперацию Arid Viper против пяти израильских и одной кувейтской организаций.
Основная сфера заинтересованности APT-C-23, как мы уже говорили, это страны Ближнего Востока, особенно Израиль. Например, в минувшем феврале хакеры распространяли вредоносы под видом мобильного чата среди израильских солдат, для чего использовали шесть поддельных женских аккаунтов в соцсетях, среди которых - Сара Орлова и Марина Якобова. Мы писали про это здесь и, кстати, тогда тоже ошиблись, сказав, что APT-C-23 активна с лета 2018 года.
И еще один факт про Two-tailed Scorpion - в одном из источников утверждается, что хакерская группа проводила атаки, направленные на Россию. Мы с ходу подробной информации не нашли, но постараемся покопаться и если выудим что-нибудь стоящее - обязательно поделимся с подписчиками.
#APT #APTC23 #DesertFalcons
Вредонос имеет расширенный кибершпионский функционал и умеет читать мессенджеры, записывать звонки и изображение экрана, выполнять вызов при наложении черного экрана (чтобы скрыть сам факт вызова), а также обходить антивирусную защиту. Сейчас такие вредоносы модно называть MRAT - Mobile Remote Access Trojan (мы между собой решили называть их мразиш, ну вы в курсе).
Среди способов его распространения - через поддельные магазины приложений для Android. Совместно с MalwareHunterTeam словаки нашли один из таких магазинов - DigitalApps, который содержал как вредоносные, так и легальные Android-приложения.
SpyC23.A был спрятан в установщиках AndroidUpdate, Threema и Telegram. Вредонос устанавливался вместе с полнофункциональными приложениями. Интересно, что загрузка зараженных приложений была возможна только при предоставлении шестизначного кода купона - по всей видимости, для того, чтобы отфильтровать цели для взлома.
Судя по трем операторам сотовой связи (Jawwal, Wataniya, Estisalat), служебные номера которых SpyC23.A использует для получения данных о балансе SIM-карты зараженного устройства, вредонос ориентирован, в первую очередь, на пользователей из стран Ближнего Востока.
Еще из интересного - динамически изменяющиеся управляющие центры SpyC23.A маскируются под сайты, находящиеся на техническом обслуживании и все используют одно и то же изображение-заглушку.
Дадим немного информации о APT-C-23. ESET пишет, что впервые группа была выявлена китайскими исследователями в 2017 году, но это не так. AFAWK, первыми про эту палeстинскую группу, работающую предположительно на ХАМАС, написали в 2015 году исследователи из TrendMicro, когда расследовали кибероперацию Arid Viper против пяти израильских и одной кувейтской организаций.
Основная сфера заинтересованности APT-C-23, как мы уже говорили, это страны Ближнего Востока, особенно Израиль. Например, в минувшем феврале хакеры распространяли вредоносы под видом мобильного чата среди израильских солдат, для чего использовали шесть поддельных женских аккаунтов в соцсетях, среди которых - Сара Орлова и Марина Якобова. Мы писали про это здесь и, кстати, тогда тоже ошиблись, сказав, что APT-C-23 активна с лета 2018 года.
И еще один факт про Two-tailed Scorpion - в одном из источников утверждается, что хакерская группа проводила атаки, направленные на Россию. Мы с ходу подробной информации не нашли, но постараемся покопаться и если выудим что-нибудь стоящее - обязательно поделимся с подписчиками.
#APT #APTC23 #DesertFalcons
WeLiveSecurity
APT‑C‑23 group evolves its Android spyware
ESET research uncovers a new version of Android spyware that the APT-C-23 aka Two-tailed Scorpion threat group has used against targets in the Middle East.
Как известно, мы очень любим истории про кибершпионаж, APT, различное специализированное ПО и все такое прочее. Наверное в детстве пересмотрели фильмов про хитрых шпионов и отважных разведчиков.
Сегодня Wired проанонсировали доклад на онлайн-конференции Kaspersky SAS, посвященный выявленному Касперскими руткиту, который перезаписывает UEFI-биос.
История началась еще в 2015 году, когда хактивист Phineas Fisher взломал ныне почившую в бозе итальянскую компанию Hacking Team, основанную в далеком 2003. Hacking Team была пионером на рынке легального взлома, производя инструменты для взлома и отслеживания ПК и мобильных устройств и продавая их правоохранительным органам и спецслужбам. Компания быстро вышла за пределы национального рынка и на своей вершине в 2015 году поставляла программные продукты в 41 страну.
Phineas Fisher вскрыл сеть Hacking Team и в течение нескольких недель фильтровал сотни гигабайт данных, чтобы потом выкинуть кучу конфиденциальной информации в сеть. Среди них был и инструмент под названием VectorEDK, который фактически являлся UEFI-руткитом и устанавливался через непосредственный физический доступ к ПК.
И вот в начале этого года Касперские обнаружили на двух компьютерах в дипломатических организациях в Азии (конкретных пострадавших ЛК, понятное дело, не называет) шпионские UEFI-руткиты, основанные на VectorEDK. Они устанавливали вторичную нагрузку в виде авторского вредоноса MosaicRegressor.
На всякий случай напомним, чем опасны UEFI-руткиты. Они сидят в самой материнке и даже при обнаружении загружаемых ими вредоносов жертва практически никак не может почистить свою систему. Ни переустановка операционки, ни выдирание с болтами жестких дисков не помогут.
Конкретный способ заражения руткитом скомпрометированных ПК исследователи не выяснили. Скорее всего это был таки физический доступ. Однако MosaicRegressor был обнаружен и в ходе расследования других атак, причем в этих случаях способ его распространения был более традиционен - банальный фишинг.
Некоторые из TTPs указывают на принадлежность нового UEFI-руткита китайским хакерам. В то же время, по данным инфосек компании ProtectWise, использовавшаяся в фишинговой кампании по распространению MosaicRegressor инфраструктура принадлежит китайской APT Winnti, которая, согласно утверждению американцев, работает на госбезопасность КНР.
Ну и остается заметить, что это далеко не первый случай, когда утечка хакерских инструментов спецслужб или работающих на них компаний приводила к последующим атакам со стороны других хакерских групп. Достаточно вспомнить, что изначально принадлежащие АНБшной группе Equation эксплойт EternalBlue и бэкдор DoublePulsar стали основой для киберкампании WannaCry. А уже в этом году ESET неожиданно обнаружили поразительное сходство в коде одного из инструментов, использованного все той же Winnti в 2018 году, с аналогичным кодом из все той же утечки Lost in Translation хакерских инструментов все той же APT Equation.
Пора вводить новый закон Мерфи - "все плохое ПО, которое было разработано, рано или поздно будет использовано в еще худших целях".
#APT #Winnti
Сегодня Wired проанонсировали доклад на онлайн-конференции Kaspersky SAS, посвященный выявленному Касперскими руткиту, который перезаписывает UEFI-биос.
История началась еще в 2015 году, когда хактивист Phineas Fisher взломал ныне почившую в бозе итальянскую компанию Hacking Team, основанную в далеком 2003. Hacking Team была пионером на рынке легального взлома, производя инструменты для взлома и отслеживания ПК и мобильных устройств и продавая их правоохранительным органам и спецслужбам. Компания быстро вышла за пределы национального рынка и на своей вершине в 2015 году поставляла программные продукты в 41 страну.
Phineas Fisher вскрыл сеть Hacking Team и в течение нескольких недель фильтровал сотни гигабайт данных, чтобы потом выкинуть кучу конфиденциальной информации в сеть. Среди них был и инструмент под названием VectorEDK, который фактически являлся UEFI-руткитом и устанавливался через непосредственный физический доступ к ПК.
И вот в начале этого года Касперские обнаружили на двух компьютерах в дипломатических организациях в Азии (конкретных пострадавших ЛК, понятное дело, не называет) шпионские UEFI-руткиты, основанные на VectorEDK. Они устанавливали вторичную нагрузку в виде авторского вредоноса MosaicRegressor.
На всякий случай напомним, чем опасны UEFI-руткиты. Они сидят в самой материнке и даже при обнаружении загружаемых ими вредоносов жертва практически никак не может почистить свою систему. Ни переустановка операционки, ни выдирание с болтами жестких дисков не помогут.
Конкретный способ заражения руткитом скомпрометированных ПК исследователи не выяснили. Скорее всего это был таки физический доступ. Однако MosaicRegressor был обнаружен и в ходе расследования других атак, причем в этих случаях способ его распространения был более традиционен - банальный фишинг.
Некоторые из TTPs указывают на принадлежность нового UEFI-руткита китайским хакерам. В то же время, по данным инфосек компании ProtectWise, использовавшаяся в фишинговой кампании по распространению MosaicRegressor инфраструктура принадлежит китайской APT Winnti, которая, согласно утверждению американцев, работает на госбезопасность КНР.
Ну и остается заметить, что это далеко не первый случай, когда утечка хакерских инструментов спецслужб или работающих на них компаний приводила к последующим атакам со стороны других хакерских групп. Достаточно вспомнить, что изначально принадлежащие АНБшной группе Equation эксплойт EternalBlue и бэкдор DoublePulsar стали основой для киберкампании WannaCry. А уже в этом году ESET неожиданно обнаружили поразительное сходство в коде одного из инструментов, использованного все той же Winnti в 2018 году, с аналогичным кодом из все той же утечки Lost in Translation хакерских инструментов все той же APT Equation.
Пора вводить новый закон Мерфи - "все плохое ПО, которое было разработано, рано или поздно будет использовано в еще худших целях".
#APT #Winnti
Wired
A China-Linked Group Repurposed Hacking Team’s Stealthy Spyware
The tool attacks a device’s UEFI firmware—which makes it especially hard to detect and destroy.
Malwarebytes представили материал о выявленной 17 сентября атаке Kraken, в ходе которой полезная нагрузка помещается внутрь службы Windows Error Reporting (WER).
В качестве первичного проникновения хакеры использовали фишинговые письма с информацией о правах работников на компенсацию (хороший ход). Полезная нагрузка в виде библиотеки kraken.dll загружается с предварительно скомпрометированного сайта и внедряет вредоносный шелл-код в исполняемый файл WerFault.exe.
Далее вредонос осуществляет несколько проверок - например, пытается выяснить находится ли он в песочнице или виртуальной машине. Если проверки прошли нормально, то расшифровывает окончательный шелл-код и помещает его в выделенную область памяти.
Этот шелл-код, в свою очередь, создает еще одну выделенную область памяти и загружает в нее вредоносные модули с предварительно определенного домена. Что это за модули ресерчеры не выяснили, поскольку на момент исследования домен был недоступен.
Таким образом, Kraken является безфайловой атакой, которая очень похожа на активность прогосударственной APT.
Malwarebytes не смогли с достаточной степенью достоверности установить кто из APT является автором Kraken, но некоторые TTPs позволяют предположить, что это были хакеры из вьетнамской Ocean Lotus aka APT 32.
Про вьетнамцев мы писали здесь - это весьма профессиональные хакеры, заточенные на кибершпионаж в отношении как государственных структур (например, МЧС Китая), так и крупных коммерческие компании (вьетнамцы ломали Toyota и Lexus, BMW, Hyundai).
#APT #OceanLotus
В качестве первичного проникновения хакеры использовали фишинговые письма с информацией о правах работников на компенсацию (хороший ход). Полезная нагрузка в виде библиотеки kraken.dll загружается с предварительно скомпрометированного сайта и внедряет вредоносный шелл-код в исполняемый файл WerFault.exe.
Далее вредонос осуществляет несколько проверок - например, пытается выяснить находится ли он в песочнице или виртуальной машине. Если проверки прошли нормально, то расшифровывает окончательный шелл-код и помещает его в выделенную область памяти.
Этот шелл-код, в свою очередь, создает еще одну выделенную область памяти и загружает в нее вредоносные модули с предварительно определенного домена. Что это за модули ресерчеры не выяснили, поскольку на момент исследования домен был недоступен.
Таким образом, Kraken является безфайловой атакой, которая очень похожа на активность прогосударственной APT.
Malwarebytes не смогли с достаточной степенью достоверности установить кто из APT является автором Kraken, но некоторые TTPs позволяют предположить, что это были хакеры из вьетнамской Ocean Lotus aka APT 32.
Про вьетнамцев мы писали здесь - это весьма профессиональные хакеры, заточенные на кибершпионаж в отношении как государственных структур (например, МЧС Китая), так и крупных коммерческие компании (вьетнамцы ломали Toyota и Lexus, BMW, Hyundai).
#APT #OceanLotus
Malwarebytes
Release the Kraken: Fileless injection into Windows Error Reporting service | Malwarebytes Labs
We discovered a new attack that injected its payload—dubbed "Kraken—into the Windows Error Reporting (WER) service as a defense evasion mechanism.
Так в руки исследователей даже попал скриншот интерфейса Sharpa с комментариями на узбекском языке, который один из разработчиков зачем-то использовал в зараженном файле Word.
После публичного рассказа исследователей о деятельности APT SandCat последние затихарились и с тех пор их никто не видел. Очевидно, что они улучшили свой OPSEC и, возможно, ломают кого-то и по сей день.
Кстати, некоторые эксперты склонялись к тому, что используемые 0-day уязвимости SandCat покупали у известных израильских торговцев кибершпионским ПО NSO Group и Candiru (мы про них много писали).
#APT #SandCat
После публичного рассказа исследователей о деятельности APT SandCat последние затихарились и с тех пор их никто не видел. Очевидно, что они улучшили свой OPSEC и, возможно, ломают кого-то и по сей день.
Кстати, некоторые эксперты склонялись к тому, что используемые 0-day уязвимости SandCat покупали у известных израильских торговцев кибершпионским ПО NSO Group и Candiru (мы про них много писали).
#APT #SandCat
Инфосек компания Malwarebytes сообщила, что иранская APT Silent Librarian aka Cobalt Dickens в связи с началом учебного года в университетах всего мира организовала очередную фишинговую кампанию, направленную на их сотрудников и студентов.
Цель фишинга - сбор учетных данных, чтобы в дальнейшем получить доступ к внутренним ресурсам и, в конечном счете, украсть интеллектуальную собственность. Старая добрая промышленная разведка.
Всего Malwarebytes вскрыли атаки на несколько десятков университетов из разных стран мира - США, Великобритании, Нидерландов, Австралии, Сингапура и др. Фишинговые сайты, выдаваемые хакерами за легальные точки входа, скрыты за Cloudflare, но исследователям удалось идентифицировать часть вредоносной инфраструктуры, которая оказалась размещена в Иране.
Silent Librarian - это иранская APT, работающая, как считается, на КСИР. Прикрытием группы является вполне легальная компания под названием Mabna Institute. Предположительно хакерская группа активна с 2013 года. Специализация - фишинговые атаки на учебные заведения по всему миру с целью кражи и, в некоторых случаях, последующей перепродажи интеллектуальной собственности.
В марте 2018 года американские власти предъявили обвинения 9 иранским гражданам, имеющим отношение к Mabna Institute, которые, по мнению Департамента юстиции США, были причастны к хакерской деятельности Silent Librarian. Иранцев обвиняли во взломе 320 университетов и 47 коммерческих компаний по всему миру в период с 2013 по 2018 годы. Тем не менее, понятно, что иранцев никто в Иране арестовывать не стал и Silent Librarian свою хакерскую деятельность не прекратили.
Так, уже после предъявления обвинения APT была замечена как минимум в двух фишинговых кампаниях, направленных на университеты, в августе 2018 и июле 2019 годов.
#APT #SilentLibrarian
Цель фишинга - сбор учетных данных, чтобы в дальнейшем получить доступ к внутренним ресурсам и, в конечном счете, украсть интеллектуальную собственность. Старая добрая промышленная разведка.
Всего Malwarebytes вскрыли атаки на несколько десятков университетов из разных стран мира - США, Великобритании, Нидерландов, Австралии, Сингапура и др. Фишинговые сайты, выдаваемые хакерами за легальные точки входа, скрыты за Cloudflare, но исследователям удалось идентифицировать часть вредоносной инфраструктуры, которая оказалась размещена в Иране.
Silent Librarian - это иранская APT, работающая, как считается, на КСИР. Прикрытием группы является вполне легальная компания под названием Mabna Institute. Предположительно хакерская группа активна с 2013 года. Специализация - фишинговые атаки на учебные заведения по всему миру с целью кражи и, в некоторых случаях, последующей перепродажи интеллектуальной собственности.
В марте 2018 года американские власти предъявили обвинения 9 иранским гражданам, имеющим отношение к Mabna Institute, которые, по мнению Департамента юстиции США, были причастны к хакерской деятельности Silent Librarian. Иранцев обвиняли во взломе 320 университетов и 47 коммерческих компаний по всему миру в период с 2013 по 2018 годы. Тем не менее, понятно, что иранцев никто в Иране арестовывать не стал и Silent Librarian свою хакерскую деятельность не прекратили.
Так, уже после предъявления обвинения APT была замечена как минимум в двух фишинговых кампаниях, направленных на университеты, в августе 2018 и июле 2019 годов.
#APT #SilentLibrarian
Malwarebytes
Silent Librarian APT right on schedule for 20/21 academic year | Malwarebytes Labs
As expected, this Iranian APT set up a new campaign to target universities around the world when schools and universities went back.
Завершающая часть нашего обзора про северокорейскую APT Kimsuky. Начало вы можете найти здесь и здесь.
Весной 2018 года южнокорейские инфосек эксперты обнаружили атаку на водопой (Watering Hole, внедрение вредоносного кода на ресурс с целью заражения посещающих его пользователей), целью которой были специализированные сайты, посетителями которых являлись преимущественно сотрудники аналитических центров, связанных с исследованиями на тему Северной Кореи, военного дела, безопасности и дипломатической деятельности. Поскольку ресерчеры из Южной Кореи не обладают большой фантазией, то кибероперацию они назвали Water Tank – совмещение Watering Hole и Think Tank.
Впрочем, конкретных TTPs, указывающих на Kimsuky южнокорецы не нашли и лишь утверждали, что Water Tank — дело рук APT из КНДР.
В начале 2019 года исследователи из южнокорейской антивирусной компании AhnLab обнаружили новую киберкампанию Kimsuky, направленную на заражение посредством фишинга компьютеров сотрудников Министерства объединения. Кампанию назвали Kabar Cobra.
Дальнейшее расследование показало, что также были атакованы военные организации и медиаиндустрия, а еще криптовалютные ресурсы. В качестве приманки использовались документы корейского текстового редактора Hancom Office, поддерживающего хангыль, фонематическое письмо корейского языка.
Ресерчеры нашли достаточное количество TTPs, указывающих на причастность Kimsuky к операции Kabar Cobra. Интересной деталью стало то, что в ходе северокорейские хакеры использовали уязвимости Hancom Office, которые они эксплуатировали еще в 2014 году. Это означало, что Kimsuky были хорошо осведомлены о том, что их цели продолжают использовать устаревшие версии текстового редактора.
В марте 2019 года, спустя год после операции Water Tank, северокорейцы опять развернули свои атаки на водопой и в этот раз экспертам удалось достоверно подтвердить причастность Kimsuky. Целями были опять же южнокорейские сайты, публикующие материалы на тему корейского объединения, а также его политических аспектов.
В ходе заражения целевых машин Kimsuky использовали стеганографию — тело вредоноса загружалось внутри файла изображения. Он собирал и эксфильтрировал файлы HWP (формат Hancom Office), DOC и PDF, а также системную информацию. Доказательством авторства Kimsuky послужили пересечения с ее вредоносной инфраструктурой, выявленной ранее.
Летом 2019 года исследователи южнокорейской команды IssueMakersLab (судя по всему, связана со спецслужбами Южной Кореи), специализирующиеся на расследовании деятельности северокорейских APT, выявили проводимую Kimsuky фишинговую кампанию, направленную на отставных сотрудников южнокорейских государственных, дипломатических и военных структур. Целями были учетные данные почтовых ящиков на Gmail и Naver, ведущего портала Южной Кореи.
Сама идея достаточно интересная, поскольку бывшие сотрудники с точки зрения инфосека защищены гораздо хуже, но в то же время часто привлекаются в качестве экспертов для решения различных текущих государственных вопросов, а также поддерживают контакты с действующими работниками ведомств.
#APT #Kimsuky
Весной 2018 года южнокорейские инфосек эксперты обнаружили атаку на водопой (Watering Hole, внедрение вредоносного кода на ресурс с целью заражения посещающих его пользователей), целью которой были специализированные сайты, посетителями которых являлись преимущественно сотрудники аналитических центров, связанных с исследованиями на тему Северной Кореи, военного дела, безопасности и дипломатической деятельности. Поскольку ресерчеры из Южной Кореи не обладают большой фантазией, то кибероперацию они назвали Water Tank – совмещение Watering Hole и Think Tank.
Впрочем, конкретных TTPs, указывающих на Kimsuky южнокорецы не нашли и лишь утверждали, что Water Tank — дело рук APT из КНДР.
В начале 2019 года исследователи из южнокорейской антивирусной компании AhnLab обнаружили новую киберкампанию Kimsuky, направленную на заражение посредством фишинга компьютеров сотрудников Министерства объединения. Кампанию назвали Kabar Cobra.
Дальнейшее расследование показало, что также были атакованы военные организации и медиаиндустрия, а еще криптовалютные ресурсы. В качестве приманки использовались документы корейского текстового редактора Hancom Office, поддерживающего хангыль, фонематическое письмо корейского языка.
Ресерчеры нашли достаточное количество TTPs, указывающих на причастность Kimsuky к операции Kabar Cobra. Интересной деталью стало то, что в ходе северокорейские хакеры использовали уязвимости Hancom Office, которые они эксплуатировали еще в 2014 году. Это означало, что Kimsuky были хорошо осведомлены о том, что их цели продолжают использовать устаревшие версии текстового редактора.
В марте 2019 года, спустя год после операции Water Tank, северокорейцы опять развернули свои атаки на водопой и в этот раз экспертам удалось достоверно подтвердить причастность Kimsuky. Целями были опять же южнокорейские сайты, публикующие материалы на тему корейского объединения, а также его политических аспектов.
В ходе заражения целевых машин Kimsuky использовали стеганографию — тело вредоноса загружалось внутри файла изображения. Он собирал и эксфильтрировал файлы HWP (формат Hancom Office), DOC и PDF, а также системную информацию. Доказательством авторства Kimsuky послужили пересечения с ее вредоносной инфраструктурой, выявленной ранее.
Летом 2019 года исследователи южнокорейской команды IssueMakersLab (судя по всему, связана со спецслужбами Южной Кореи), специализирующиеся на расследовании деятельности северокорейских APT, выявили проводимую Kimsuky фишинговую кампанию, направленную на отставных сотрудников южнокорейских государственных, дипломатических и военных структур. Целями были учетные данные почтовых ящиков на Gmail и Naver, ведущего портала Южной Кореи.
Сама идея достаточно интересная, поскольку бывшие сотрудники с точки зрения инфосека защищены гораздо хуже, но в то же время часто привлекаются в качестве экспертов для решения различных текущих государственных вопросов, а также поддерживают контакты с действующими работниками ведомств.
#APT #Kimsuky
Telegram
SecAtor
Когда-то давным-давно, несколько месяцев назад, мы написали серию постов про ведущую северокорейскую APT Lazarus и обещали продолжить ее материалами про другую хакерскую группу, работающую на спецслужбы КНДР и носящую название Kimsuky. Однако, тогда не срослось.…