28.06.2024 | Цифровые оборотни ChamelGang: правительственные хакеры осваивают новые способы маскировки |
Группы кибершпионажа начали активно применять программы-вымогатели не только для финансовой выгоды, но и для усложнения атрибуции атак, отвлечения защитников и запутывания следов. Аналитики из SentinelLabs и Recorded Future представили отчет, в котором описывается деятельность APT-группы ChamelGang, подозреваемой в связи с Китаем. Группа использует программу-вымогатель CatB в атаках на крупные организации по всему миру. Деятельность ChamelGang ChamelGang (также известная как CamoFei) в период с 2021 по 2023 годы нацеливалась на правительственные организации и объекты критической инфраструктуры. Группа применяет сложные методы для первоначального доступа, разведки, бокового перемещения и эксфильтрации конфиденциальных данных. В ноябре 2022 года злоумышленники атаковали администрацию президента Бразилии, скомпрометировав 192 компьютера. В конечном итоге в сети была развернута программа-вымогатель CatB и оставлены записки с требованием выкупа.
Записка с требованием выкупа ChamelGang Изначально атаку приписывали группе TeslaCrypt, но SentinelLabs и Recorded Future представили новые доказательства, указывающие на ChamelGang. В конце 2022 года группа также атаковала Всеиндийский институт медицинских наук (AIIMS) с помощью CatB, что вызвало значительные перебои в предоставлении медицинских услуг. Исследователи считают, что ChamelGang также стоит за атаками на правительственное учреждение в Восточной Азии и авиационную организацию в Индийском субконтиненте. В данных случаях использовались известные тактики, техники и процедуры (TTPs), а также собственное вредоносное ПО BeaconLoader. Отдельный кластер активности, выявленный SentinelLabs и Recorded Future, для шифрования файлов использует Jetico BestCrypt и Microsoft BitLocker вместо CatB. Инциденты затронули 37 организаций в Северной Америке (преимущественно), Южной Америке и Европе. Сравнивая данные с отчетами других ИБ-компаний, исследователи обнаружили пересечения с прошлыми инцидентами, связанными с подозреваемыми китайскими и северокорейскими APT -группами. BestCrypt обычно использовался для шифрования серверов, тогда как BitLocker применялся к рабочим станциям. В атаке использовались веб-оболочка China Chopper (кастомная версия miPing) и контроллеры домена Active Directory в качестве точек опоры. Аналитики отмечают, что атаки длились в среднем 9 дней, хотя некоторые завершались всего за несколько часов, что свидетельствует о хорошем знании атакуемой среды. Применение программ-вымогателей в кибершпионаже может приносить стратегические и оперативные преимущества, размывая границы между деятельностью APT-групп и киберпреступников, что может привести к ошибочной атрибуции атак или скрыть истинную цель злоумышленников — сбор данных. Приписывание прошлых инцидентов с использованием программ-вымогателей группе ChamelGang показывает, что атакующие меняют тактику, чтобы скрыть свои следы и при этом достигать своих целей. ChamelGang был впервые задокументирован ещё в сентябре 2021 года – тогда исследователи имели дело с экземпляром вредоносного ПО для Windows. В июне 2023 года была обнаружена Linux-версия вредоносного ПО ChamelDoH, которое позволяло осуществлять связь с серверами злоумышленников по протоколу DNS-over-HTTPS (DoH). |
Проверить безопасность сайта