Friend
Professional
- Messages
- 2,653
- Reaction score
- 848
- Points
- 113
Подробный анализ российских APT-атак, их целей и развивающихся TTP, включая вредоносное ПО, используемое в кампаниях целевого фишинга.
Оглавление
Мы наблюдаем, что российские группы с передовыми постоянными угрозами (APT) развивают свои тактики, методы и процедуры (TTP) — и в то же время расширяют свою целевую аудиторию. Они используют новые кампании целевого фишинга для извлечения данных и учетных данных путем доставки вредоносного ПО, продаваемого на незаконных торговых площадках.
Мы выявили следующие российские APT-группы, участвовавшие в недавних кампаниях, перечислив штаммы вредоносного ПО, использовавшиеся в приписываемых атаках, и их предполагаемые цели:
Использование целевого фишинга среди спонсируемых российским государством субъектов является заметным изменением с начала украинско-российской войны, которая началась в 2022 году. В начале конфликта спонсируемые государством группы отдавали предпочтение использованию разрушительного вредоносного ПО-очистителя. Однако ближе к концу 2023 года Украинская группа реагирования на компьютерные чрезвычайные ситуации (CERT) начала замечать изменение в своей тактике, отреагировав на более чем 1700 фишинговых атак, включая распространение вредоносного ПО, сбор учетных данных и вымогательство.
Flashpoint обнаружил, что наиболее распространенными семействами вредоносных программ, используемых в этих фишинговых кампаниях, были Agent Tesla, Remcos, Smokeloader, Snake Keylogger и Guloader. Цепочки атак, используемые этими группами, используют общее вредоносное ПО и методы для уклонения от обнаружения.
Вот что вам следует знать об этих APT и их TTP:
Презентация приманки APT29 ROOTSAW
В то время как некоторые кампании доставляли ROOTSAW с прикрепленными файлами HTML, APT29 также использовала файлы .HTA, которые доставляли вредоносное ПО WINELOADER, которое является бэкдором, доставляемым через фишинговые письма. Файлы HTA выполняются вне ограничений безопасности браузера, что позволяет простым полезным нагрузкам избегать обнаружения. Другие группы APT, такие как Gamaredon, также использовали дропперы HTA в своих кампаниях. Эта цепочка заражения также реализуется другими киберпреступными кампаниями, которые доставляют инфокрады и другое вредоносное ПО массового потребления.
Однако не все APT-группы разрабатывают собственные полезные нагрузки. Другие группы просто покупают вредоносное ПО на нелегальных рынках. Эти инструменты используются другими киберпреступниками. В течение 2023 года наиболее популярное вредоносное ПО, используемое российскими злоумышленниками, было свободно доступно для покупки. Даже продвинутые шпионы, такие как APT44, проводили кампании с использованием вредоносного ПО Sandworm с начала 2023 года.
В феврале 2024 года Министерство юстиции США пресекло работу ботнета из взломанных маршрутизаторов, который APT28 использовала для фишинговых атак и сбора учетных данных.
В другой кампании APT28 использовала агрессивную структуру PowerShell для захвата хэшей NTLM и извлекала данные через бесплатный сервис, который позволяет пользователям быстро создавать фиктивные интерфейсы прикладного программирования (API). В третьем квартале 2023 года APT29 использовала публичную службу API для получения IP-адреса жертвы.
Учитывая использование платных инструментов и аналогичных методов доставки, организации могут помочь себе защититься следующим образом:
Оглавление
- Объяснение российских APT
- Русский APT Killchain
- Способы защиты от российских APT-атак
Мы наблюдаем, что российские группы с передовыми постоянными угрозами (APT) развивают свои тактики, методы и процедуры (TTP) — и в то же время расширяют свою целевую аудиторию. Они используют новые кампании целевого фишинга для извлечения данных и учетных данных путем доставки вредоносного ПО, продаваемого на незаконных торговых площадках.
Мы выявили следующие российские APT-группы, участвовавшие в недавних кампаниях, перечислив штаммы вредоносного ПО, использовавшиеся в приписываемых атаках, и их предполагаемые цели:
| Threat Group | Malware | Target(s) |
|---|---|---|
| APT28 | Credomap, Oceanmap, Masepie, Steelhook, Unidentified 114 | Poland, Ukraine |
| APT29 | ROOTSAW, WINELOADER, Quarterrig, BURNTBATTER, SPICYBEAT, MUSKYBEAT, STATICNOISE | Germany, Ukraine |
| APT44 | Smokeloader, Rhadamanthys | Ukraine, Eastern Europe, Journalists |
| Gamaredon | GammaSteel | Ukraine |
| Gossamer Bear | Spica | NATO countries, Ukraine |
| Storm-097 | RomCom | Europe, North America |
| Turla | Capibar, Kazuar | Ukraine |
| UAC-0050 | Remcos RAT, MeduzaStealer | Poland, Ukraine |
| UAC-0149 | COOKBOX | Ukraine |
| Winter Vivern | Aperitif | Poland, Ukraine |
Использование целевого фишинга среди спонсируемых российским государством субъектов является заметным изменением с начала украинско-российской войны, которая началась в 2022 году. В начале конфликта спонсируемые государством группы отдавали предпочтение использованию разрушительного вредоносного ПО-очистителя. Однако ближе к концу 2023 года Украинская группа реагирования на компьютерные чрезвычайные ситуации (CERT) начала замечать изменение в своей тактике, отреагировав на более чем 1700 фишинговых атак, включая распространение вредоносного ПО, сбор учетных данных и вымогательство.
Flashpoint обнаружил, что наиболее распространенными семействами вредоносных программ, используемых в этих фишинговых кампаниях, были Agent Tesla, Remcos, Smokeloader, Snake Keylogger и Guloader. Цепочки атак, используемые этими группами, используют общее вредоносное ПО и методы для уклонения от обнаружения.
Вот что вам следует знать об этих APT и их TTP:
Объяснение российских APT
Аналитики рассмотрели кампании следующих российских групп. Каждая из этих APT-групп в настоящее время активна в 2024 году:- APT28: Фишинговые приманки APT28 выдавали себя за правительственные организации в Аргентине, Армении, Азербайджане, Беларуси, Грузии, Казахстане, Польше, Украине и США. Группа использовала провайдеров бесплатного хостинга для размещения бэкдоров, нацеленных на операционные системы Windows.
- APT29: Кампании этой группы доставляли различные дропперы и методы заражения. Многие образцы были замечены в прошлых кампаниях, включая BURNTBATTER и DONUT. Начиная с февраля 2024 года они добавили WINELOADER в свой массив загрузчиков.
- APT44: В период с декабря 2023 года по январь 2024 года группа, связанная с APT44, атаковала журналистов-расследователей, включая голландскую группу журналистов-расследователей Bellingcat. В кампаниях, в которых распространялось вредоносное ПО для кражи информации Rhadamanthys, группа также использовала «Smokeloader». Оба вредоносных ПО можно приобрести на форумах Dark Web.
- GAMAREDON: EU CERT называет Gamaredon самым плодовитым участником российской войны против Украины. Отслеживаемый с 2013 года, Gamaredon в первую очередь нацелен на Украину с помощью вредоносных документов, которые доставляют различные вредоносные программы домашнего производства.
- GOSSAMER BEAR: Также известная как Callisto, эта группа занимается сбором учетных данных и нацелена на Украину и страны Организации Североатлантического договора (НАТО). Недавние кампании предоставили пользовательский бэкдор на основе Rust.
- UAC-0050: Группа, отслеживаемая украинским CERT, нацелена на украинские и польские правительственные организации. Подобно APT28 и APT29, приманочный контент группы выдавал себя за организации из стран, союзных Украине. UAC-0050 постоянно поставляет Remcos и Meduza Stealer.
- UAC-0149: UAC-0149 отслеживается с февраля 2024 года, когда украинский CERT обнаружил попытки фишинга, распространяемые через мессенджер Signal. Кампания доставляла вредоносный документ военнослужащим. При запуске вредоносные документы извлекали вредоносные полезные нагрузки PowerShell, размещенные на GitHub.
Русский APT Killchain
Капельницы
Наиболее распространенный метод заражения жертв — доставка HTML-дропперов, которые часто упакованы в сжатые архивы или файлы образов дисков. Спонсируемые государством группы, такие как APT29, постоянно используют HTML-вложения в фишинговые письма, которые запускают JavaScript-дроппер ROOTSAW. Когда HTML-файл запускается, жертве предоставляется приманка, пока выполняется вредоносный код. Цель этого — извлечь и запустить полезную нагрузку второго этапа.
Презентация приманки APT29 ROOTSAW
В то время как некоторые кампании доставляли ROOTSAW с прикрепленными файлами HTML, APT29 также использовала файлы .HTA, которые доставляли вредоносное ПО WINELOADER, которое является бэкдором, доставляемым через фишинговые письма. Файлы HTA выполняются вне ограничений безопасности браузера, что позволяет простым полезным нагрузкам избегать обнаружения. Другие группы APT, такие как Gamaredon, также использовали дропперы HTA в своих кампаниях. Эта цепочка заражения также реализуется другими киберпреступными кампаниями, которые доставляют инфокрады и другое вредоносное ПО массового потребления.
Вредоносное ПО
Российские APT-группы разрабатывают различные вредоносные программы, включая бэкдоры, кражи и загрузчики для компрометации жертв. В кампании 2023 года APT29 доставила по меньшей мере шесть уникальных загрузчиков в своих фишинговых кампаниях. Недавно группа переключилась на WINELOADER, вариант прошлых полезных нагрузок. При запуске WINELOADER внедряется в легитимный исполняемый файл через DLL-sideloading. После загрузки загрузчик взаимодействует с C2 через HTTP-запросы GET.Однако не все APT-группы разрабатывают собственные полезные нагрузки. Другие группы просто покупают вредоносное ПО на нелегальных рынках. Эти инструменты используются другими киберпреступниками. В течение 2023 года наиболее популярное вредоносное ПО, используемое российскими злоумышленниками, было свободно доступно для покупки. Даже продвинутые шпионы, такие как APT44, проводили кампании с использованием вредоносного ПО Sandworm с начала 2023 года.
Скомпрометированная инфраструктура
Российские группы угроз используют взломанные веб-сайты для управления и контроля (C2). APT29, Gamaredon и Gossamer Bear внедрили взломанные сайты WordPress, чтобы помешать атрибуции своих серверов C2.В феврале 2024 года Министерство юстиции США пресекло работу ботнета из взломанных маршрутизаторов, который APT28 использовала для фишинговых атак и сбора учетных данных.
Кража NTLM-хэша
В кампании по сбору учетных данных в конце 2023 года APT28 использовала атаки с ретрансляцией хэша NTLMv2. Эти атаки доставляют жертве скрипт PowerShell или VBS, который запускает аутентификацию NTLMv2 по HTTP и создает прослушиватель HTTP для получения запросов.В другой кампании APT28 использовала агрессивную структуру PowerShell для захвата хэшей NTLM и извлекала данные через бесплатный сервис, который позволяет пользователям быстро создавать фиктивные интерфейсы прикладного программирования (API). В третьем квартале 2023 года APT29 использовала публичную службу API для получения IP-адреса жертвы.
Способы защиты от российских APT-атак
По мере продолжения украинско-российской войны российские APT-группы постоянно адаптируют свои TTP и вредоносное ПО. Многие группы используют общие методы доставки, что указывает на возможное сотрудничество между участниками. Кроме того, использование платных инструментов вместо пользовательских полезных нагрузок говорит о том, что многие из этих незаконных кампаний оказались успешными. Что это значит для вас?Учитывая использование платных инструментов и аналогичных методов доставки, организации могут помочь себе защититься следующим образом:
- Проверка ненормальных дочерних процессов файлов HTML и .HTA.
- Проверка выполнения файлов .iso.
- Обнаружение загрузок этих типов файлов на веб-прокси.
- Реализация обнаружения сторонних загрузок DLL.
- Проверка сетевых журналов на предмет взаимодействия с фиктивными службами API.
- Проактивная блокировка вредоносного ПО, продаваемого на нелегальных торговых площадках и форумах, с помощью комплексной аналитики угроз.
