BlackBerry Research & amp; Etterretningsteamet offentliggjorde en ny rapport på tirsdag som koblet forskjellige malware-kampanjer til den kinesiske cyberspionage-gruppen APT41, og bemerket at gruppen har benyttet seg av Cobalt Strike-aktivitet ved å bruke en skreddersydd formbar C2-profil som bruker phishing-lokking av COVID-19 for å målrette ofre i India. < /p>
Teamet klarte å koble phishing-lokkemidler via PDF- og ZIP-filer som inneholder informasjon relatert til skattelovgivning og COVID-19-statistikk, antatt å være fra indiske myndigheter.
Den amerikanske regjeringen anklaget i 2020 mot fem APT41 -medlemmer for å ha hacket seg inn i mer enn 100 selskaper over hele verden. Amerikanske tjenestemenn sa at APT41-medlemmer klarte å kompromittere utenlandske regjerings datanettverk i India og Vietnam, samt pro-demokratiske politikere og aktivister i Hong Kong.
APT41-gruppen er en av de mest beryktede og aktive statsstøttede hackinggruppene. ATP41s virksomhet ble først beskrevet i en FireEye-rapport som ble publisert i august 2019, med rapporten som koblet gruppen til noen av de største angrepene i forsyningskjeden de siste årene, og til eldre hack som gikk så tidlig som i 2012.
Gruppen bruker offentlig tilgjengelige profiler designet for å ligne legitim nettverkstrafikk fra Amazon, Gmail, OneDrive og andre. BlackBerry fant forbindelser mellom denne kampanjen og andre utgitt av FireEye i 2020, samt Prevailion, Subex og PTSecurity.
“Bildet vi avdekket var det av en statssponsert kampanje som spiller på folks håp om en rask slutt på pandemien som et lokkemiddel for å fange ofrene. Og en gang på en brukers maskin blander trusselen seg inn i det digitale treverket ved å bruke den egen tilpasset profil for å skjule nettverkstrafikken, “sa teamet i rapporten.
“APT41 er en produktiv kinesisk statssponsert cyber -trusselgruppe som har gjennomført malware -kampanjer relatert til spionasje og økonomisk motivert kriminell aktivitet helt tilbake til 2012. Denne trusselgruppen har målrettet organisasjoner rundt om i verden, i mange vertikaler som reiser, telekommunikasjon, helse, nyheter og utdanning. APT41 har ofte brukt phishing -e -post med ondsinnede vedlegg som en første infeksjonvektor. Når de har fått tilgang til en målorganisasjon, distribuerer de vanligvis mer avansert skadelig programvare for å etablere et vedvarende fotfeste. Denne gruppen bruker en rekke forskjellige forskjellige malware -familier, inkludert informasjonsstjellere, keyloggers og bakdører. “
Forskerne sa at de oppdaget det de tror er ytterligere APT41 -infrastruktur og phishing -lokker rettet mot ofre i India som inneholdt informasjon relatert til ny skattelovgivning og COVID -19 statistikk. Disse meldingene påstås å være fra indiske regjeringsenheter, heter det i rapporten.
Målet med angrepet var å laste og utføre et Cobalt Strike Beacon på offerets nettverk ved hjelp av phishing -lokker og vedlegg.
FireEye og andre cybersikkerhetsselskaper har brukt år på å dokumentere APT41s taktikk, og BlackBerry -teamet sa at de fant en formbar C2 -profil på GitHub som lignet en nevnt av FireEye og forfattet av en kinesisk sikkerhetsforsker med pseudonymet '1135'.
“Disse profilene hadde flere likheter: både brukte jQuery Malleable C2-profiler og deler av HTTP GET-profilblokken er nesten identiske. HTTP-overskriftsfelt som” godta “,” brukeragent “,” vert “og” henviser “, så vel som “set-uri” -feltet, var alle nøyaktige samsvar med profildataene som er oppført i FireEye-bloggen, “forklarte rapporten.
“Ved å trekke ut og korrelere HTTP -overskriftene som brukes i GET- og POST -forespørslene definert i Beacon -konfigurasjonene, kan vi generere avslørende forbindelser mellom tilsynelatende ulik Cobalt Strike -infrastruktur. Mens vi identifiserte et relativt lite antall Beacons som bruker BootCSS -domenet som en del av deres formbar C2 -konfigurasjon, var det også noen få klynger med unike konfigurasjonsmetadata som gjorde at vi kunne identifisere flere fyrtårn relatert til APT41. Varslene som betjenes av disse nye nodene bruker en annen formbar profil enn de i den opprinnelige klyngen som prøver å lage varselet trafikk ser ut som legitim Microsoft -trafikk. “
Domenene teamet fant har også lignende navnekonvensjon, og ved å se gjennom kampanjen oppdaget BlackBerry et sett med tre PDF -filer knyttet til .microsoftdocs.workers [.] Dev -domener rettet mot ofre i India. Lokkene lovet informasjon knyttet til skatteregler og COVID-19-råd.
Den første PDF-filen knyttet til skatteregler inneholder et innebygd PowerShell-skript som kjøres mens PDF-filen vises for brukeren.
“PowerShell -skriptet laster ned og kjører en nyttelast via”%temp% conhost.exe ', som laster inn en nyttelastfil som heter' event.dat '. Denne .DAT -filen er et Cobalt Strike Beacon. Den andre og tredje sluk har hver liknende utførelsesflyter og komponentdeler; en PDF -lokking, conhost.exe og en hendelse.* nyttelast. I dette tilfellet hadde disse hendelsesfilene en .LOG -utvidelse, i stedet for .DAT, “fant rapporten.
“Den største forskjellen mellom den andre og den tredje sluken er at den første bruker et selvutpakkende arkiv med navnet 'India records høyeste noensinne covid_19 recoveries.pdf.exe', og den andre bruker en ZIP-fil med navnet 'India records høyeste noensinne noensinne dag COVID-19 recoveryies.zip '. Lokker to og tre inneholder også den samme informasjonen i sine respektive PDF-filer. Begge gjelder et rekordhøyt antall COVID-19-gjenoppretting i India, informasjon som påstås å være fra det indiske regjeringsdepartementet for helse & amp; Family Welfare. “
Forskerne bemerket at en tidligere september 2020 -rapport fra Subex fant lignende phishing -forsøk også rettet mot indiske statsborgere. Denne rapporten tilskriver angrepet til Evilnum APT -gruppen, men BlackBerry -forskerne var uenige, og angav en rekke årsaker til at de tror synderen er APT41.
Nyttelastene er faktisk Cobalt Strike Beacons, et kjennetegn for APT41 ifølge BlackBerry, og det er en rekke konfigurasjonsinnstillinger som knytter angrepet til APT41.
“Med ressursene til en trusselgruppe på nasjonalstatnivå er det mulig å skape et virkelig svimlende mangfold i infrastrukturen. Og selv om ingen sikkerhetsgrupper har det samme finansieringsnivået, kan vi ved å samle vår kollektive hjernekraft fortsatt avdekke spor som de involverte cyberkriminelle jobbet så hardt med å skjule, “la forskerne til.
Sikkerhet
Fortinet, Shopify rapporterer problemer etter at rot -CA -sertifikatet fra Lets Encrypt utløper Ransomware -gjengene klager over at andre skurker stjeler løsepengene sine Bandwidth CEO bekrefter avbrudd forårsaket av DDoS -angrep Disse systemer møter milliarder av angrep hver måned når hackere prøver å gjette passord Hvordan få en best betalende jobb innen cybersikkerhet Cybersecurity 101: Beskytt personvernet ditt mot hackere, spioner, regjeringen
Relaterte emner:
China Enterprise Software Mobility Ta med dine egne maskinvareanmeldelser 