Бесплатно Экспресс-аудит сайта:

06.11.2020

APT-группа заметает следы, маскируясь под скрипт-кидди

Специалист компании Sophos Габор Саппанош (Gabor Szappanos) сообщил о APT-группе, атакующей неправительственные организации в Мьянме. Примечательной чертой группировки является использование сложных техник взлома наряду с сообщениями, характерными для малоопытных хакеров (так называемых скрипт-кидди). Это усложняет ИБ-экспертам задачу по идентификации группировки.

По словам специалиста, злоумышленники прячут в своем вредоносном коде сообщения, характерные для скрипт-кидди, например, «KilllSomeOne». В то же время группировка использует сложный таргетинг и развертывание вредоносного ПО, как настоящая APT.

В своих атаках киберпреступники полагаются в основном на технику, известную как «боковая загрузка DLL» (DLL side-loading), которая приобрела большую популярность в Китае в 2013 году. Этот факт, а также территориальные споры между Китаем и Мьянмой, указывают на то, что APT-группа может быть из Китая.

Злоумышленники используют четыре разных сценария боковой загрузки DLL для загрузки на атакуемую систему либо полезной нагрузки оболочки, позволяющей запускать команды, либо сложного набора вредоносного ПО. Однако все четыре сценария предполагают выполнение вредоносного кода и установку бэкдоров в сетях атакуемой организации. Каждый из них также имеет один и тот же путь к базе данных ПО (PDB) и содержит написанные на ломаном английском языке текстовые строки политического характера, в том числе «Happiness is a way station between too much and too little» и «HELLO_USA_PRISIDENT».

По мнению экспертов, группировка не является однородной и состоит из участников разного уровня подготовки, как высококвалифицированных, так и среднего уровня.