fbpx
Июль 11, 2020 9:10 | Alexandr Kim |

Исследователи Bitdefender недавно обнаружили, что группа APT StrongPity, нацеленная на жертв в Турции и Сирии, использует тактику «водопоя» для выборочного заражения жертв и развертывания трехуровневой инфраструктуры C&C для предотвращения судебных расследований.

Группа APT использовала популярные троянские инструменты, такие как:

  • Архиваторы.
  • Приложения для восстановления файлов.
  • Приложения для удаленных подключений.
  • Утилиты.
  • ПО для обеспечения безопасности.

Данные, собранные во время расследования этой группы, показывают, что киберпреступники особенно заинтересованы в курдской общине, что раскрывает угрозу постоянных конфликтов в регионе.

Образцы, использованные в одной из кампаний атакующих, похоже, были отмечены с 1 октября 2019 года, что совпало с началом наступления Турции на северо-восток Сирии под кодовым названием Операция «Источник мира». Хотя прямых доказательств, подтверждающих, что группа StrongPity APT действовала в поддержку военных операций в Турции, не существует, профиль жертвы в сочетании с метками времени на проанализированных образцах представляет интересное совпадение.

Основные выводы:

  • Потенциально финансируемая государством группировка APT с политической мотивацией.
  • У злоумышленников есть возможность поиска и эксфильтрации любого файла или документа с машины жертвы. Тактика «Водопой» выборочно нацеливается на жертв в Турции и Сирии, используя заранее определенный список IP-адресов.
  • Используется трехуровневая инфраструктура C&C для сокрытия следов и предотвращения судебных расследований.
  • Используется полностью работающий троянский инструмент.
  • Вероятнее всего, StrongPity спонсируется для реализации определенных проектов, так как исследованные файлы, относящиеся к испорченным приложениям, были скомпилированы с понедельника по пятницу в течение обычного 9–6 UTC + 2 рабочих часа.
  • Жертвы проверяются на основе списка $ target, то есть злоумышленники могут доставить испорченную версию троянских приложений, если IP-адрес жертвы совпадает с найденным в файле. В противном случае будет предоставлена ​​законная версия приложения. Тем не менее, исследователи обнаружили, что любое действительное соединение получит вредоносный установщик вместо чистого.
  • Как только жертва скомпрометирована, вредоносные компоненты развертываются на компьютере жертвы. Запускается механизм поиска файлов, отвечающий за циклический просмотр дисков с поиском файлов с определенными расширениями. Если они найдены, они помещаются во временный zip-архив. Впоследствии они будут разбиты на скрытые зашифрованные файлы .sft, отправлены на сервер C&C и, в конечном счете, удалены с диска, чтобы скрыть любые следы эксфильтрации.

На нашем сайте мы используем файлы cookie, чтобы сделать вашу работу наиболее комфортной. Продолжая пользоваться нашим сайтом, не меняя настроек, вы тем самым выражаете согласие на использование нами данных файлов. Более подробно вы можете почитать о них в разделе Политики конфиденциальности.