Исследователи предупреждают о возобновлении атак на высокопоставленные организации, предпринятых китайским APT-актером, известным в отрасли как ToddyCat. Группа совершенствует свою тактику, а также набор вредоносных инструментов с 2020 года, когда она была первоначально обнаружена. В новом отчете, опубликованном на этой неделе, исследователи из охранной фирмы Check Point Software Technologies задокументировали кампанию ToddyCat, которую они окрестили "Остаться в живых", нацеленную на организации из азиатских стран, в первую очередь из телекоммуникационного и государственного секторов. “Кампания Stayin 'Alive состоит в основном из загрузчиков, некоторые из которых используются в качестве начального переносчика инфекции против известных азиатских организаций”, - сообщили исследователи Check Point. “Первый обнаруженный загрузчик под названием CurKeep был нацелен на Вьетнам, Узбекистан и Казахстан. Проведя наш анализ, мы поняли, что эта кампания является частью гораздо более широкой кампании, нацеленной на регион ”. В недавнемотчетеопубликованном на этой неделе, исследователи из "Лаборатории Касперского" также задокументировали новое поколение загрузчиков вредоносных программ, используемых ToddyCat в недавних атаках, включая некоторые, которые, похоже, адаптированы для каждой жертвы. Исследователи Касперского первоначально раскрыли деятельность ToddyCat в конце 2020 года после того, как группа нацелилась на высокопоставленные азиатские и европейские организации. Сторонняя загрузка DLL - излюбленный метод ToddyCat Один из любимых методов ToddyCat по внедрению вредоносных программ на компьютеры - это технология, называемая боковой загрузкой DLL. Это включает в себя поиск законного исполняемого файла из приложения, которое выполняет поиск определенного DLL-файла в том же каталоге, а затем замену этой DLL вредоносной. Поскольку первоначально запущенный файл принадлежит законному приложению или службе, он, вероятно, будет иметь цифровую подпись и внесен в белый список в некоторых продуктах безопасности. Злоумышленники надеются, что последующая загрузка вредоносной библиотеки DLL законным исполняемым файлом не будет обнаружена или заблокирована. В прошлом ToddyCat использовал уязвимости в общедоступных серверах Microsoft Exchange, но также распространял вредоносное ПО через фишинговые электронные письма, к которым прикреплены вредоносные архивы. Эти архивы содержат законные исполняемые файлы вместе с вредоносной библиотекой DLL, загруженной сбоку. По данным Check Point, одно из приложений, использованных в недавних атаках, называется Dante Discovery и создано компанией Audinate. В ходе фишинг-атаки против вьетнамской телекоммуникационной компании злоумышленники отправили архив с исполняемым файлом Dante Discovery под названием to mDNSResponder.exe вместе со вредоносной библиотекой DLL, загруженной с боковой страницы, под названием dal_keepalives.библиотека dll, которую ищет программное обеспечение. Спонсируемый контент от MONGODB 12 шаблонов проектирования схем для вашего следующего приложения Автор MONGODB 21 августа 2023 г. Мошенник dal_keepalives.dll - это простой загрузчик вредоносных программ, который используется для настройки сохраняемости путем копирования списка файлов в папку Данных приложения и настройки запланированной задачи под названием AppleNotifyService для продолжения ее выполнения. Загрузчик вредоносного ПО используется для запуска простого бэкдора, который Check Point называет “CurKeep”. “Основная логика полезной нагрузки [CurKeep] состоит из трех основных функциональных возможностей: отчета, оболочки и файла”, - сказали исследователи. “Каждой из них присваивается отдельный тип сообщения, которое отправляется на сервер C & C. При выполнении полезная нагрузка изначально запускает функцию отчета, отправляя основную разведывательную информацию на сервер C & C. Затем она создает два отдельных потока, которые повторно запускают функции оболочки и файла. ” Функциональность оболочки используется злоумышленниками для удаленного выполнения команд оболочки на компьютере, а функция файла заключается в загрузке файлов на диск, которые затем будут выполнены. Между тем, исследователи Касперского сообщили, что видели похожие боковой загрузкой тактика воспользовавшись vlc.exe популярный с открытым исходным кодом видео плеер, разбойника, сопровождающих файл с названием плейлиста.дат, вредоносные загрузки в виде файлов DLL, которые загружаются непосредственно с утилитой rundll32.exe окна. Загрузчики, замеченные Касперским, использовались для загрузки троянской программы Ninja, которую ToddyCat использует с 2020 года и которую исследователи описывают как “сложное вредоносное ПО, написанное на C ++, вероятно, являющееся частью неизвестного инструментария для последующей эксплуатации”. Троянская программа может перечислять и уничтожать запущенные процессы, управлять системными файлами, открывать обратные сеансы командной оболочки, внедрять код в произвольные процессы, загружать дополнительные модули для расширения функциональности и настраивать прокси для связи с командно-контрольным сервером. Обнаруженные Kaspersky загрузчики вредоносных программ отличались друг от друга и использовали разные постоянные методы, связанные с разделами реестра и настройкой системных служб. На самом деле, некоторые варианты этих загрузчиков, похоже, были специально разработаны для жертв, использующих GUID компьютера в качестве ключа шифрования для своих последующих полезных загрузок. Спонсируемый контент от Stack Overflow Обзор WeAreDevelopers: наши анонсы с большого дня Автор Stack Overflow 01 августа 2023 г. Исследуя инфраструктуру ToddyCat, Check Point также обнаружила дополнительные загрузчики. Один из них они назвали "CurLu Loader" и он развернут с использованием загруженной библиотеки DLL под названием bdch.dll. Этот загрузчик использовался для развертывания полезной нагрузки, маскирующейся под файл изображения, который, в свою очередь, использовал дополнительную загрузку DLL с помощью mscoree.dll для развертывания другого бэкдора, получившего название “CurCore”. Check Point также обнаружила два других загрузчика, получивших названия "StylerServ" и "CurLog", каждый из которых использует разные методы развертывания. CurLog распространялся с приманками как в виде исполняемого файла, так и в виде дополнительной библиотеки DLL, в то время как StylerServ, по-видимому, является дополнительным загрузчиком, который работает как пассивный слушатель и развертывается более старой версией CurLu. В целом, ToddyCat, похоже, использует различные пользовательские загрузчики вредоносных программ и бэкдоры, распространяемые несколькими способами, но часто через стороннюю загрузку DLL. Дополнительные вредоносные инструменты ToddyCat Исследователи Kaspersky также задокументировали другие инструменты, которые группа использовала в своих операциях в дополнение к загрузчикам, бэкдорам и троянцу Ninja. Одна из них называется "LoFiSe" и представляет собой инструмент, используемый для поиска и сбора интересующих файлов из зараженных систем. Спонсируемый контент от Sophos Да, программы-вымогатели по-прежнему являются огромной проблемой Автор Sophos 27 июля 2023 г. “Название LoFiSe происходит от имени мьютекса, используемого этим инструментом (MicrosoftLocalFileService)”, - сказали исследователи. “Сам инструмент представляет собой DLL-файл с именем DsNcDiag.dll, который запускается с использованием технологии боковой загрузки DLL”. Другие инструменты включают загрузчики для DropBox и Microsoft OneDrive, которые используются для удаления файлов, пассивный UDP-бэкдор, который получает команды через UDP-пакеты, и Cobalt Strike, коммерческую платформу для тестирования на проникновение, которая стала популярной у многих хакеров. “Последние открытия подтверждают, что ToddyCat атакует свою цель с целью осуществления шпионской деятельности”, - заявили исследователи. “Для достижения этой цели злоумышленник проникает в корпоративные сети, используя такие инструменты, как загрузчики и троянские программы, описанные выше. Закрепившись, она начинает собирать информацию о хостах, подключенных к той же сети, чтобы найти цели, у которых могут быть представляющие интерес файлы. Группа проводит поисковые операции, перечисляя учетные записи доменов и серверы DC, используя стандартные утилиты администрирования операционной системы. ” После выявления дополнительных систем злоумышленники используют украденные учетные данные администратора домена для подключения сетевых дисков, выполнения скриптов и настройки запланированных задач в целевых системах с целью поиска и эксфильтрации документов.
КибербезопасностьМировыеХакеры, вирусы, утечки

Китайская APT group ToddyCat запускает новые кампании кибершпионажа

Исследователи предупреждают о возобновлении атак на высокопоставленные организации, предпринятых китайским APT-актером, известным в отрасли как ToddyCat. Группа совершенствует свою тактику, а также набор вредоносных инструментов с 2020 года, когда она была первоначально обнаружена.

В новом отчете, опубликованном на этой неделе, исследователи из охранной фирмы Check Point Software Technologies задокументировали кампанию ToddyCat, которую они окрестили “Остаться в живых”, нацеленную на организации из азиатских стран, в первую очередь из телекоммуникационного и государственного секторов.

“Кампания Stayin ‘Alive состоит в основном из загрузчиков, некоторые из которых используются в качестве начального переносчика инфекции против известных азиатских организаций”, – сообщили исследователи Check Point. “Первый обнаруженный загрузчик под названием CurKeep был нацелен на Вьетнам, Узбекистан и Казахстан. Проведя наш анализ, мы поняли, что эта кампания является частью гораздо более широкой кампании, нацеленной на регион ”.

В недавнем отчете опубликованном на этой неделе, исследователи из “Лаборатории Касперского” также задокументировали новое поколение загрузчиков вредоносных программ, используемых ToddyCat в недавних атаках, включая некоторые, которые, похоже, адаптированы для каждой жертвы. Исследователи Касперского первоначально раскрыли деятельность ToddyCat в конце 2020 года после того, как группа нацелилась на высокопоставленные азиатские и европейские организации.

Сторонняя загрузка DLL – излюбленный метод ToddyCat

Один из любимых методов ToddyCat по внедрению вредоносных программ на компьютеры – это технология, называемая боковой загрузкой DLL. Это включает в себя поиск законного исполняемого файла из приложения, которое выполняет поиск определенного DLL-файла в том же каталоге, а затем замену этой DLL вредоносной.

Поскольку первоначально запущенный файл принадлежит законному приложению или службе, он, вероятно, будет иметь цифровую подпись и внесен в белый список в некоторых продуктах безопасности. Злоумышленники надеются, что последующая загрузка вредоносной библиотеки DLL законным исполняемым файлом не будет обнаружена или заблокирована.

В прошлом ToddyCat использовал уязвимости в общедоступных серверах Microsoft Exchange, но также распространял вредоносное ПО через фишинговые электронные письма, к которым прикреплены вредоносные архивы. Эти архивы содержат законные исполняемые файлы вместе с вредоносной библиотекой DLL, загруженной сбоку.

По данным Check Point, одно из приложений, использованных в недавних атаках, называется Dante Discovery и создано компанией Audinate. В ходе фишинг-атаки против вьетнамской телекоммуникационной компании злоумышленники отправили архив с исполняемым файлом Dante Discovery под названием to mDNSResponder.exe вместе со вредоносной библиотекой DLL, загруженной с боковой страницы, под названием dal_keepalives.библиотека dll, которую ищет программное обеспечение.

Мошенник dal_keepalives.dll – это простой загрузчик вредоносных программ, который используется для настройки сохраняемости путем копирования списка файлов в папку Данных приложения и настройки запланированной задачи под названием AppleNotifyService для продолжения ее выполнения. Загрузчик вредоносного ПО используется для запуска простого бэкдора, который Check Point называет “CurKeep”.

“Основная логика полезной нагрузки [CurKeep] состоит из трех основных функциональных возможностей: отчета, оболочки и файла”, – сказали исследователи. “Каждой из них присваивается отдельный тип сообщения, которое отправляется на сервер C & C. При выполнении полезная нагрузка изначально запускает функцию отчета, отправляя основную разведывательную информацию на сервер C & C. Затем она создает два отдельных потока, которые повторно запускают функции оболочки и файла. ”

Функциональность оболочки используется злоумышленниками для удаленного выполнения команд оболочки на компьютере, а функция файла заключается в загрузке файлов на диск, которые затем будут выполнены.

Между тем, исследователи Касперского сообщили, что видели похожие боковой загрузкой тактика воспользовавшись vlc.exe популярный с открытым исходным кодом видео плеер, разбойника, сопровождающих файл с названием плейлиста.дат, вредоносные загрузки в виде файлов DLL, которые загружаются непосредственно с утилитой rundll32.exe окна.

Загрузчики, замеченные Касперским, использовались для загрузки троянской программы Ninja, которую ToddyCat использует с 2020 года и которую исследователи описывают как “сложное вредоносное ПО, написанное на C ++, вероятно, являющееся частью неизвестного инструментария для последующей эксплуатации”. Троянская программа может перечислять и уничтожать запущенные процессы, управлять системными файлами, открывать обратные сеансы командной оболочки, внедрять код в произвольные процессы, загружать дополнительные модули для расширения функциональности и настраивать прокси для связи с командно-контрольным сервером.

Обнаруженные Kaspersky загрузчики вредоносных программ отличались друг от друга и использовали разные постоянные методы, связанные с разделами реестра и настройкой системных служб. На самом деле, некоторые варианты этих загрузчиков, похоже, были специально разработаны для жертв, использующих GUID компьютера в качестве ключа шифрования для своих последующих полезных загрузок.

Исследуя инфраструктуру ToddyCat, Check Point также обнаружила дополнительные загрузчики. Один из них они назвали “CurLu Loader” и он развернут с использованием загруженной библиотеки DLL под названием bdch.dll. Этот загрузчик использовался для развертывания полезной нагрузки, маскирующейся под файл изображения, который, в свою очередь, использовал дополнительную загрузку DLL с помощью mscoree.dll для развертывания другого бэкдора, получившего название “CurCore”.

Check Point также обнаружила два других загрузчика, получивших названия “StylerServ” и “CurLog”, каждый из которых использует разные методы развертывания. CurLog распространялся с приманками как в виде исполняемого файла, так и в виде дополнительной библиотеки DLL, в то время как StylerServ, по-видимому, является дополнительным загрузчиком, который работает как пассивный слушатель и развертывается более старой версией CurLu.

В целом, ToddyCat, похоже, использует различные пользовательские загрузчики вредоносных программ и бэкдоры, распространяемые несколькими способами, но часто через стороннюю загрузку DLL.

Дополнительные вредоносные инструменты ToddyCat

Исследователи Kaspersky также задокументировали другие инструменты, которые группа использовала в своих операциях в дополнение к загрузчикам, бэкдорам и троянцу Ninja. Одна из них называется “LoFiSe” и представляет собой инструмент, используемый для поиска и сбора интересующих файлов из зараженных систем.

“Название LoFiSe происходит от имени мьютекса, используемого этим инструментом (MicrosoftLocalFileService)”, – сказали исследователи. “Сам инструмент представляет собой DLL-файл с именем DsNcDiag.dll, который запускается с использованием технологии боковой загрузки DLL”.

Другие инструменты включают загрузчики для DropBox и Microsoft OneDrive, которые используются для удаления файлов, пассивный UDP-бэкдор, который получает команды через UDP-пакеты, и Cobalt Strike, коммерческую платформу для тестирования на проникновение, которая стала популярной у многих хакеров.

“Последние открытия подтверждают, что ToddyCat атакует свою цель с целью осуществления шпионской деятельности”, – заявили исследователи. “Для достижения этой цели злоумышленник проникает в корпоративные сети, используя такие инструменты, как загрузчики и троянские программы, описанные выше. Закрепившись, она начинает собирать информацию о хостах, подключенных к той же сети, чтобы найти цели, у которых могут быть представляющие интерес файлы. Группа проводит поисковые операции, перечисляя учетные записи доменов и серверы DC, используя стандартные утилиты администрирования операционной системы. ”

После выявления дополнительных систем злоумышленники используют украденные учетные данные администратора домена для подключения сетевых дисков, выполнения скриптов и настройки запланированных задач в целевых системах с целью поиска и эксфильтрации документов.

admin
Author: admin