Исследователи Bitdefender недавно расследовали сложную и целевую шпионскую атаку на потенциальных жертв государственного сектора в Юго-Восточной Азии, осуществленную изощренной китайской APT-группой. Операция началась в конце 2018 года, а текущие судебно-медицинские доказательства соответствуют сроку атаки до 2020 года.
Исследование было направлено на анализ APT-атаки и предоставление полного отчета об инструментах, тактике и методах, использованных сложной группой во время атаки.
Хотя об инциденте упоминали другие исследователи в области безопасности, расследование Bitdefender сосредоточено на предоставлении подробного графика атаки путем объединения всех данных судебной экспертизы и создания примера из практики.
Атака имеет сложный и полный арсенал дропперов, бэкдоров и других инструментов, включая бинарные файлы бэкдора Chinoxy, PCShare RAT и FunnyDream, причем криминалистические артефакты указывают на изощренного китайского актера.
Известно, что некоторые из этих троянских программ удаленного доступа с открытым исходным кодом (RAT) имеют китайское происхождение, а некоторые другие ресурсы настроены на китайский язык.
Бэкдор FunnyDream намного сложнее других, он реализует широкий спектр механизмов сохранения и большое количество дропперов, что позволяет предположить, что он сделан на заказ.
Основные результаты исследования:
- Потенциальная китайская APT-группа нацелена на правительство Юго-Восточной Азии.
- Сохранение через двоичные файлы с цифровой подписью, уязвимое для боковой загрузки бэкдора в память.
- Обширный настраиваемый набор инструментов для исследования и эксфильтрации данных.
- Использовано три бэкдора (Chinoxy, PcShare, FunnyDream).
- Потенциально скомпрометированные контроллеры домена, получившие контроль над сетью жертвы.
- Первый подробный график этой атаки и использованные инструменты, тактика и методы.
- Около 200 машин показали признаки наличия различных инструментов, связанных с группой APT.