Исследователи кибербезопасности раскрыли подробности о ранее недокументированной группе угроз под названием Unfading Sea Haze, которая, как полагают, была активна с 2018 года.
Вторжение затронуло организации высокого уровня в странах Южно-Китайского моря, особенно военные и правительственные цели, говорится в отчете Bitdefender, опубликованном в Hacker News.
"Расследование выявило тревожную тенденцию, выходящую за рамки исторического контекста", - сказал Мартин Цугек, директор по техническим решениям Bitdefender, добавив, что на сегодняшний день выявлено в общей сложности восемь жертв.
"Примечательно, что злоумышленники неоднократно восстанавливали доступ к скомпрометированным системам. Эта эксплуатация подчеркивает критическую уязвимость: плохую гигиену учетных данных и неадекватные методы исправления на уязвимых устройствах и веб-сервисах ".
Есть некоторые признаки того, что субъект угрозы, стоящий за атаками, преследует цели, соответствующие интересам Китая, несмотря на тот факт, что сигнатуры атак не совпадают с сигнатурами какой-либо известной хакерской группы.
Это включает в себя виктимологический след, когда такие страны, как Филиппины и другие организации в Южной части Тихого океана, ранее были мишенью связанного с Китаем актера Мустанг Панда.
Также в атаках используются различные версии вредоносного ПО Gh0st RAT, товарного троянца, который, как известно, используется китайскоязычными участниками угроз.
"Одна конкретная техника, используемая Unfading Sea Haze – запуск кода JScript с помощью инструмента под названием SharpJSHandler, – напоминает функцию, обнаруженную в бэкдоре "FunnySwitch", который был связан с APT41", - сказал Bitdefender. "И то, и другое связано с загрузкой .СЕТЕВЫЕ сборки и выполнение кода JScript. Однако это было единичное сходство ".
Точный первоначальный путь доступа, используемый для проникновения в цели, в настоящее время известен, хотя, что интересно, было замечено, что Unfading Sea Haze восстанавливает доступ к тем же организациям через фишинговые электронные письма, содержащие архивы-ловушки.
Эти архивные файлы поставляются с файлами быстрого доступа Windows (LNK), которые при запуске запускают процесс заражения путем выполнения команды, предназначенной для извлечения полезной нагрузки следующего этапа с удаленного сервера. Эта полезная нагрузка представляет собой бэкдор, получивший название SerialPktdoor, который разработан для запуска сценариев PowerShell, перечисления директорий, загрузки / выгрузки файлов и удаления файлов.
Более того, команда использует движок Microsoft Build Engine (MSBuild) для беспрофильного выполнения файла, расположенного в удаленном месте, таким образом, не оставляя следов на хосте жертвы и снижая шансы обнаружения.
Цепочки атак характеризуются использованием запланированных задач как способа обеспечения персистентности, при этом имена задач выдают себя за законные файлы Windows, которые используются для запуска безвредного исполняемого файла, подверженного побочной загрузке DLL для загрузки вредоносной библиотеки DLL.
"Помимо использования запланированных задач, злоумышленник использовал другой метод сохранения: манипулирование учетными записями локальных администраторов", - сообщили в румынской фирме по кибербезопасности. "Это включало попытки включить отключенную учетную запись локального администратора с последующим сбросом ее пароля".
Известно, что по крайней мере с сентября 2022 года Unfading Sea Haze использует коммерчески доступные инструменты удаленного мониторинга и управления (RMM), такие как ITarian RMM, чтобы закрепиться в сетях жертв - тактика, которая обычно не наблюдается среди субъектов национальных государств, за исключением иранской группировки MuddyWater.
Об изощренности противника свидетельствует широкий спектр пользовательских инструментов в его арсенале, который включает варианты Gh0st RAT, такие как SilentGh0st и его эволюционный преемник InsidiousGh0st (который поставляется в версиях C ++, C # и Go), TranslucentGh0st, FluffyGh0st и EtherealGh0st, последние три из которых являются модульными и используют подход, основанный на плагинах.
Также используется загрузчик, известный как Ps2dllLoader, который может обходить интерфейс сканирования против вредоносных программ (AMSI) и действует как канал для доставки SharpJSHandler, который работает путем прослушивания HTTP-запросов и выполняет закодированный код JavaScript с использованием Microsoft.Библиотека JScript.
Bitdefender заявила, что обнаружила еще две разновидности SharpJSHandler, которые способны извлекать и запускать полезную нагрузку из облачных сервисов хранения данных, таких как Dropbox и Microsoft OneDrive, и экспортировать результаты обратно в то же место.
Ps2dllLoader также содержит другой бэкдор под кодовым названием Stubbedoor, который отвечает за запуск зашифрованной сборки .NET, полученной с сервера командования и контроля (C2).
Другие артефакты, использованные в ходе атак, включают кейлоггер под названием xkeylog, средство для кражи данных веб-браузера, инструмент для мониторинга присутствия портативных устройств и пользовательскую программу для удаления данных под названием DustyExfilTool, которая использовалась в период с марта 2018 года по январь 2022 года.
Это еще не все. Среди сложного арсенала вредоносных агентов и инструментов, используемых Unfading Sea Haze, присутствует третий бэкдор, называемый SharpZulip, который использует API службы обмена сообщениями Zulip для получения команд для выполнения из потока под названием "NDFUIBNFWDNSA". В Zulip потоки (теперь называемые каналами) аналогичны каналам в Discord и Slack.
Есть основания предполагать, что злоумышленник выполняет эксфильтрацию данных вручную, чтобы захватить интересующую информацию, включая данные из приложений для обмена сообщениями, таких как Telegram и Viber, и упаковать ее в виде архива, защищенного паролем.
"Это сочетание пользовательских и готовых инструментов, наряду с ручным извлечением данных, рисует картину целенаправленной шпионской кампании, направленной на получение конфиденциальной информации из скомпрометированных систем", - отметил Цугек.
"Их пользовательский арсенал вредоносных программ, включая семейство Gh0st RAT и Ps2dllLoader, демонстрирует акцент на гибкости и методах уклонения. Наблюдаемый сдвиг в сторону модульности, динамических элементов и выполнения в памяти подчеркивает их усилия по обходу традиционных мер безопасности."
Вторжение затронуло организации высокого уровня в странах Южно-Китайского моря, особенно военные и правительственные цели, говорится в отчете Bitdefender, опубликованном в Hacker News.
"Расследование выявило тревожную тенденцию, выходящую за рамки исторического контекста", - сказал Мартин Цугек, директор по техническим решениям Bitdefender, добавив, что на сегодняшний день выявлено в общей сложности восемь жертв.
"Примечательно, что злоумышленники неоднократно восстанавливали доступ к скомпрометированным системам. Эта эксплуатация подчеркивает критическую уязвимость: плохую гигиену учетных данных и неадекватные методы исправления на уязвимых устройствах и веб-сервисах ".
Есть некоторые признаки того, что субъект угрозы, стоящий за атаками, преследует цели, соответствующие интересам Китая, несмотря на тот факт, что сигнатуры атак не совпадают с сигнатурами какой-либо известной хакерской группы.
Это включает в себя виктимологический след, когда такие страны, как Филиппины и другие организации в Южной части Тихого океана, ранее были мишенью связанного с Китаем актера Мустанг Панда.
Также в атаках используются различные версии вредоносного ПО Gh0st RAT, товарного троянца, который, как известно, используется китайскоязычными участниками угроз.
"Одна конкретная техника, используемая Unfading Sea Haze – запуск кода JScript с помощью инструмента под названием SharpJSHandler, – напоминает функцию, обнаруженную в бэкдоре "FunnySwitch", который был связан с APT41", - сказал Bitdefender. "И то, и другое связано с загрузкой .СЕТЕВЫЕ сборки и выполнение кода JScript. Однако это было единичное сходство ".
Точный первоначальный путь доступа, используемый для проникновения в цели, в настоящее время известен, хотя, что интересно, было замечено, что Unfading Sea Haze восстанавливает доступ к тем же организациям через фишинговые электронные письма, содержащие архивы-ловушки.
Эти архивные файлы поставляются с файлами быстрого доступа Windows (LNK), которые при запуске запускают процесс заражения путем выполнения команды, предназначенной для извлечения полезной нагрузки следующего этапа с удаленного сервера. Эта полезная нагрузка представляет собой бэкдор, получивший название SerialPktdoor, который разработан для запуска сценариев PowerShell, перечисления директорий, загрузки / выгрузки файлов и удаления файлов.
Более того, команда использует движок Microsoft Build Engine (MSBuild) для беспрофильного выполнения файла, расположенного в удаленном месте, таким образом, не оставляя следов на хосте жертвы и снижая шансы обнаружения.
Цепочки атак характеризуются использованием запланированных задач как способа обеспечения персистентности, при этом имена задач выдают себя за законные файлы Windows, которые используются для запуска безвредного исполняемого файла, подверженного побочной загрузке DLL для загрузки вредоносной библиотеки DLL.
"Помимо использования запланированных задач, злоумышленник использовал другой метод сохранения: манипулирование учетными записями локальных администраторов", - сообщили в румынской фирме по кибербезопасности. "Это включало попытки включить отключенную учетную запись локального администратора с последующим сбросом ее пароля".
Известно, что по крайней мере с сентября 2022 года Unfading Sea Haze использует коммерчески доступные инструменты удаленного мониторинга и управления (RMM), такие как ITarian RMM, чтобы закрепиться в сетях жертв - тактика, которая обычно не наблюдается среди субъектов национальных государств, за исключением иранской группировки MuddyWater.
Об изощренности противника свидетельствует широкий спектр пользовательских инструментов в его арсенале, который включает варианты Gh0st RAT, такие как SilentGh0st и его эволюционный преемник InsidiousGh0st (который поставляется в версиях C ++, C # и Go), TranslucentGh0st, FluffyGh0st и EtherealGh0st, последние три из которых являются модульными и используют подход, основанный на плагинах.
Также используется загрузчик, известный как Ps2dllLoader, который может обходить интерфейс сканирования против вредоносных программ (AMSI) и действует как канал для доставки SharpJSHandler, который работает путем прослушивания HTTP-запросов и выполняет закодированный код JavaScript с использованием Microsoft.Библиотека JScript.
Bitdefender заявила, что обнаружила еще две разновидности SharpJSHandler, которые способны извлекать и запускать полезную нагрузку из облачных сервисов хранения данных, таких как Dropbox и Microsoft OneDrive, и экспортировать результаты обратно в то же место.
Ps2dllLoader также содержит другой бэкдор под кодовым названием Stubbedoor, который отвечает за запуск зашифрованной сборки .NET, полученной с сервера командования и контроля (C2).
Другие артефакты, использованные в ходе атак, включают кейлоггер под названием xkeylog, средство для кражи данных веб-браузера, инструмент для мониторинга присутствия портативных устройств и пользовательскую программу для удаления данных под названием DustyExfilTool, которая использовалась в период с марта 2018 года по январь 2022 года.
Это еще не все. Среди сложного арсенала вредоносных агентов и инструментов, используемых Unfading Sea Haze, присутствует третий бэкдор, называемый SharpZulip, который использует API службы обмена сообщениями Zulip для получения команд для выполнения из потока под названием "NDFUIBNFWDNSA". В Zulip потоки (теперь называемые каналами) аналогичны каналам в Discord и Slack.
Есть основания предполагать, что злоумышленник выполняет эксфильтрацию данных вручную, чтобы захватить интересующую информацию, включая данные из приложений для обмена сообщениями, таких как Telegram и Viber, и упаковать ее в виде архива, защищенного паролем.
"Это сочетание пользовательских и готовых инструментов, наряду с ручным извлечением данных, рисует картину целенаправленной шпионской кампании, направленной на получение конфиденциальной информации из скомпрометированных систем", - отметил Цугек.
"Их пользовательский арсенал вредоносных программ, включая семейство Gh0st RAT и Ps2dllLoader, демонстрирует акцент на гибкости и методах уклонения. Наблюдаемый сдвиг в сторону модульности, динамических элементов и выполнения в памяти подчеркивает их усилия по обходу традиционных мер безопасности."
