BlackBerry Research & amp; Efterretningsteam offentliggjorde tirsdag en ny rapport, der forbinder forskellige malware-kampagner med den kinesiske cyberspionagruppe APT41, og bemærkede, at gruppen har udnyttet Cobalt Strike-aktivitet ved hjælp af en skræddersyet formbar C2-profil, der bruger COVID-19 phishing-lokker til at målrette ofre i Indien. < /p>
Teamet var i stand til at forbinde phishing-lokkemidler via PDF- og ZIP-filer, der indeholder oplysninger om skattelovgivning og COVID-19-statistik, der er fremkommet som indiske regeringsenheder.
Den amerikanske regering anklagede i 2020 mod fem APT41 -medlemmer for at have hacket sig ind i mere end 100 virksomheder over hele verden. Amerikanske embedsmænd sagde, at APT41-medlemmer formåede at kompromittere udenlandske regerings computernetværk i Indien og Vietnam samt pro-demokratiske politikere og aktivister i Hong Kong.
APT41-gruppen er en af de mest berygtede og aktive statsstøttede hackergrupper. ATP41s operationer blev først beskrevet i en FireEye-rapport, der blev offentliggjort i august 2019, hvor rapporten knyttede gruppen til nogle af de største supply chain-angreb i de seneste år og til ældre hacks, der gik til så tidligt som i 2012.
Gruppen bruger offentligt tilgængelige profiler designet til at ligne legitim netværkstrafik fra Amazon, Gmail, OneDrive og andre. BlackBerry fandt forbindelser mellem denne kampagne og andre udgivet af FireEye i 2020 samt Prevailion, Subex og PTSecurity.
“Det billede, vi afslørede, var det af en statsstøttet kampagne, der spiller på folks håb om en hurtig afslutning på pandemien som et lokkemiddel til at fange dens ofre. Og når den er på en brugers maskine, smitter truslen ind i det digitale træværk ved at bruge dens egen tilpassede profil for at skjule sin netværkstrafik, “sagde teamet i sin rapport.
“APT41 er en produktiv kinesisk statsstøttet cyber -trusselgruppe, der har gennemført malware -kampagner relateret til spionage og økonomisk motiveret kriminel aktivitet, der går helt tilbage til 2012. Denne trusselgruppe har målrettet organisationer rundt om i verden i mange vertikaler, såsom rejse, telekommunikation, sundhedspleje, nyheder og uddannelse. APT41 har ofte brugt phishing -e -mails med ondsindede vedhæftede filer som en første infektionsvektor. Når de har fået adgang til en målorganisation, implementerer de typisk mere avanceret malware for at etablere en vedvarende fodfæste. Denne gruppe bruger en række forskellige forskellige malware -familier, herunder informationsstjælere, keyloggers og bagdøre. “
Forskerne sagde, at de opdagede, hvad de mener er yderligere APT41 -infrastruktur og phishing -lokker, der er målrettet ofre i Indien, der indeholdt oplysninger om ny skattelovgivning og COVID -19 statistik. Disse meddelelser påstås at være fra indiske regeringsenheder, hedder det i rapporten.
Målet med angrebet var at indlæse og eksekvere et Cobalt Strike Beacon på et ofres netværk ved hjælp af phishing -lokker og vedhæftede filer.
FireEye og andre cybersikkerhedsvirksomheder har brugt år på at dokumentere APT41s taktik, og BlackBerry -teamet sagde, at det fandt en formbar C2 -profil på GitHub, der lignede en nævnt af FireEye og forfattet af en kinesisk sikkerhedsforsker med pseudonymet '1135'.
“Disse profiler havde flere ligheder: både brugte jQuery Malleable C2-profiler og dele af HTTP GET-profilblokken er næsten identiske. HTTP-headerfelter som f.eks.” Accept “,” user-agent “,” host “og” referer “, såvel som feltet 'set-uri', var alle nøjagtige match til de profildata, der er anført i FireEye-bloggen, “forklarede rapporten.
“Ved at udtrække og korrelere de HTTP -headere, der bruges i GET- og POST -anmodningerne defineret i Beacon -konfigurationerne, kan vi generere afslørende forbindelser mellem tilsyneladende forskellige Cobalt Strike -infrastrukturer. Mens vi identificerede et relativt lille antal Beacons, der brugte BootCSS -domænet som en del af deres formbar C2 -konfiguration, var der også et par klynger med unikke konfigurationsmetadata, der gjorde det muligt for os at identificere flere beacons relateret til APT41. De beacons, der betjenes af disse nye noder, bruger en anden formbar profil til dem i den originale klynge, der forsøger at lave Beacon trafik ligner legitim Microsoft -trafik. “
De domæner, teamet fandt, har også en lignende navngivningskonvention, og ved at kigge kampagnen igennem opdagede BlackBerry et sæt af tre PDF -filer, der er knyttet til .microsoftdocs.workers [.] Dev -domæner, der er målrettet mod ofre i Indien. Lokkerne lovede oplysninger om beskatningsregler og COVID-19-råd.
Den første PDF relateret til skatteregler indeholder et integreret PowerShell-script, der udføres, mens PDF-filen vises for brugeren.
“PowerShell -scriptet downloader og udfører en nyttelast via”%temp% conhost.exe ', som indlæser en nyttelastfil kaldet' event.dat '. Denne .DAT -fil er et Cobalt Strike Beacon. Den anden og tredje lokke har hver især lignende udførelsesstrømme og komponentdele; en PDF -lokke, conhost.exe og en begivenhed.* nyttelast. I dette tilfælde havde disse hændelsesfiler en .LOG -udvidelse frem for .DAT, “fandt rapporten.
“Den største forskel mellem den anden og den tredje lokkemad er, at den første bruger et selvudpakkende arkiv med navnet 'Indien registrerer højeste nogensinde covid_19 recoveryies.pdf.exe', og den anden bruger en ZIP-fil med navnet 'India records højeste nogensinde single dag COVID-19 recoveryies.zip '. Lokker to og tre indeholder også de samme oplysninger i deres respektive PDF-filer. Begge vedrører et rekordhøjt antal COVID-19-inddrivelser i Indien, oplysninger, der påstås at være fra den indiske regerings sundhedsministerium & amp; Family Welfare. “
Forskerne bemærkede, at en tidligere september 2020 -rapport fra Subex fandt lignende phishing -forsøg også målrettet indiske statsborgere. Denne rapport tilskriver angrebet til Evilnum APT -gruppen, men BlackBerry -forskerne var uenige med angivelse af en række grunde til, at de mener, at synderen er APT41.
Nyttelastene er faktisk Cobalt Strike Beacons, et kendetegn for APT41 ifølge BlackBerry, og der er en række konfigurationsindstillinger, der knytter angrebet til APT41.
“Med ressourcerne fra en trusselgruppe på nationalstatsniveau er det muligt at skabe et virkelig svimlende niveau af mangfoldighed i deres infrastruktur. Og selvom ingen sikkerhedsgruppe har det samme finansieringsniveau, kan vi ved at samle vores kollektive hjernekraft stadig afdække spor, som de involverede cyberkriminelle arbejdede så hårdt på at skjule, «tilføjede forskerne.
Sikkerhed
Fortinet, Shopify rapporterer problemer efter root CA -certifikat fra Lets Encrypt udløber Ransomware -bander klager over, at andre skurke stjæler deres løsesum Båndbredde -CEO bekræfter afbrydelser forårsaget af DDoS -angreb Disse systemer står over for milliarder af angreb hver måned, da hackere forsøger at gætte adgangskoder Sådan får du et bedst betalende job inden for cybersikkerhed Cybersecurity 101: Beskyt dit privatliv mod hackere, spioner, regeringen
Relaterede emner:
China Enterprise Software Mobility Medbring dine egne enhedshardwareanmeldelser 