BlackBerry Research & amp; Underrättelseteamet släppte en ny rapport på tisdagen som kopplade olika kampanjer mot skadlig kod till den kinesiska cyberspionagruppen APT41, och noterade att gruppen har utnyttjat Cobalt Strike-aktivitet med hjälp av en skräddarsydd formbar C2-profil som använder covid-19 phishing-lock för att rikta offer i Indien. < /p>
Teamet kunde länka phishing-beten via PDF- och ZIP-filer som innehåller information relaterad till skattelagstiftning och COVID-19-statistik, maskerad som från indiska myndigheter.
Den amerikanska regeringen anklagade år 2020 mot fem APT41 -medlemmar för att ha hackat sig in på mer än 100 företag över hela världen. Amerikanska tjänstemän sa att APT41-medlemmar lyckades äventyra utländska staters datanät i Indien och Vietnam, liksom demokratipolitiker och aktivister i Hong Kong.
APT41-gruppen är en av de mest ökända och aktiva statligt sponsrade hackinggrupperna. ATP41: s verksamhet beskrevs först i en FireEye-rapport som publicerades i augusti 2019, med rapporten som länkade gruppen till några av de största attackkedjeattackerna under de senaste åren och till äldre hack som började redan 2012.
Gruppen använder offentligt tillgängliga profiler som är utformade för att se ut som legitim nätverkstrafik från Amazon, Gmail, OneDrive och andra. BlackBerry hittade kopplingar mellan denna kampanj och andra som publicerades av FireEye 2020, liksom Prevailion, Subex och PTSecurity.
“Den bild vi avslöjade var den av en statligt sponsrad kampanj som bygger på människors förhoppningar om ett snabbt slut på pandemin som ett lock för att fånga sina offer. Och väl på en användares maskin smälter hotet in i det digitala träverket genom att använda dess egen skräddarsydd profil för att dölja sin nätverkstrafik, säger teamet i sin rapport.
“APT41 är en produktiv kinesisk stat sponsrad cyberhotgrupp som har genomfört kampanjer mot skadlig kod relaterad till spionage och ekonomiskt motiverad kriminell verksamhet som går tillbaka så länge som 2012. Denna hotgrupp har riktat sig till organisationer runt om i världen, i många vertikaler som resor, telekommunikation, sjukvård, nyheter och utbildning. APT41 har ofta använt nätfiske -mejl med skadliga bilagor som en första infektionsvektor. När de väl har fått tillgång till en målorganisation använder de vanligtvis mer avancerad skadlig kod för att skapa ett ihållande fotfäste. Denna grupp använder en mängd olika olika skadliga familjer inklusive informationsstjälare, nyckelloggare och bakdörrar. “
Forskarna sa att de upptäckte vad de tror är ytterligare APT41 -infrastruktur och phishing -lock som riktar sig till offer i Indien som innehöll information relaterad till ny skattelagstiftning och COVID -19 statistik. Dessa meddelanden påstods komma från indiska myndigheter, säger rapporten.
Målet med attacken var att ladda och köra en Cobalt Strike Beacon på ett offrens nätverk med hjälp av phishing -beten och bilagor.
FireEye och andra cybersäkerhetsföretag har ägnat år åt att dokumentera APT41s taktik och BlackBerry -teamet sa att de hittade en formbar C2 -profil på GitHub som liknade en som nämns av FireEye och författad av en kinesisk säkerhetsforskare med pseudonymen '1135'.
“Dessa profiler hade flera likheter: både använda jQuery Malleable C2-profiler och delar av HTTP GET-profilblocket är nästan identiska. HTTP-rubrikfält som” acceptera “,” user-agent “,” host “och” referer “, samt “set-uri” -fältet, var alla exakta matchningar med profildata som anges i FireEye-bloggen “, förklarade rapporten.
“Genom att extrahera och korrelera HTTP -rubrikerna som används i GET- och POST -förfrågningarna som definieras i Beacon -konfigurationerna kan vi skapa avslöjande kopplingar mellan till synes olika Cobalt Strike -infrastruktur. Medan vi identifierade ett relativt litet antal beacons som använder BootCSS -domänen som en del av deras formbar C2 -konfiguration, det fanns också några kluster med unika konfigurationsmetadata som gjorde det möjligt för oss att identifiera ytterligare fyrar relaterade till APT41. De beacons som betjänas av dessa nya noder använder en annan formbar profil än de i det ursprungliga klustret som försöker göra Beacon trafik ser ut som legitim Microsoft -trafik. “
Domänerna som teamet hittade har också liknande namngivningskonventioner och när man tittade igenom kampanjen upptäckte BlackBerry en uppsättning av tre PDF -filer som är länkade till .microsoftdocs.workers [.] Dev -domäner som är inriktade på offer i Indien. Lurar utlovade information om beskattningsregler och covid-19-råd.
Den första PDF-filen relaterad till skatteregler innehåller ett inbäddat PowerShell-skript som körs medan PDF-filen visas för användaren.
“PowerShell -skriptet laddar ner och kör en nyttolast via”%temp% conhost.exe “, som laddar en nyttolastfil som kallas” event.dat “. Denna .DAT -fil är en Cobalt Strike Beacon. Den andra och den tredje beten har vardera liknande exekveringsflöden och komponentdelar; ett PDF -lock, conhost.exe och en händelse.* nyttolast. I det här fallet hade dessa händelsefiler ett .LOG -tillägg, snarare än .DAT “, fann rapporten.
“Den största skillnaden mellan den andra och den tredje beten är att den första använder ett självutdragande arkiv med namnet” Indien registrerar högsta någonsin covid_19 recoveryies.pdf.exe “, och den andra använder en ZIP-fil med namnet” India records högsta singel någonsin dag COVID-19 recoveryies.zip '. Lurar två och tre innehåller också samma information i sina respektive PDF-filer. Båda avser ett rekordhögt antal covid-19-återhämtningar i Indien, information som påstås vara från den indiska regeringens hälsoministerium & amp; Family Welfare. “
Forskarna noterade att en tidigare september 2020 -rapport från Subex hittade liknande nätfiskeförsök också riktade mot indiska medborgare. Den rapporten tillskriver attacken till Evilnum APT -gruppen men BlackBerry -forskarna var oense, med flera anledningar till varför de tror att den skyldige är APT41.
Nyttolasterna är faktiskt Cobalt Strike Beacons, ett kännetecken för APT41 enligt BlackBerry, och det finns ett antal konfigurationsinställningar som knyter attacken till APT41.
“Med resurserna från en hotgrupp på nationalstatsnivå är det möjligt att skapa en verkligt häpnadsväckande mångfald i sin infrastruktur. Och även om ingen säkerhetsgrupp har samma finansieringsnivå, kan vi genom att samla vår kollektiva hjärnkraft fortfarande upptäcka spår som de inblandade cyberkriminella arbetade så hårt med att dölja, tillade forskarna.
Säkerhet
Fortinet, Shopify rapporterar problem efter att root -CA -certifikat från Lets Encrypt går ut Ransomware -gäng klagar på att andra skurkar stjäl sina lösenband Bandwidth CEO bekräftar avbrott orsakade av DDoS -attack Dessa system möter miljarder attacker varje månad när hackare försöker gissa lösenord Hur man får ett högst betalande jobb inom cybersäkerhet Cybersecurity 101: Skydda din integritet från hackare, spioner, regeringen
Relaterade ämnen:
China Enterprise Software Mobility Ta med dina egna enhetshårdvarurecensioner 