Threat Group 3390

APT-группировка Emissary Panda давно известна своими атаками на западные организации, будь то корпорации, госучреждения или политические организации.

Однако, с недавних пор, группировка стала крайне избирательно подходить к выбору похищаемых данных.

Исследователи из подразделения по борьбе с угрозами (Counter Threat Unit, CTU) компании Dell SecureWorks представили подробный отчет о действиях этой APT-группировки, связанной с правительством Китая.

В отличие от других группировок, обычно похищающих все доступные в целевой сети данные, хакеры из Emissary Panda тщательно выбирают интересующие их данные. Использовав свой собственный набор хакерских утилит, эта группа, имеющая по классификации Dell название Threat Group 3390 (TG-3390), скрытно и избирательно собирала данные, полученные в ходе почти сотни watering hole-атак.

«Подобное поведение уникально для этой группировки, — заявил старший ИБ-исследователь Эндрю Уайт (Dr. Andrew White). — Большинство группировок собирают и крадут большие объемы данных, однако эта группа собирает информацию только на две-три интересующие их темы. Это показывает, что они весьма организованы и преследуют конкретные цели».

Представители Dell заявили, что от действий группировки пострадало множество организаций на территории США и Соединенного Королевства, относящихся к таким отраслям, как тяжелая промышленность, автомобилестроение, авиакосмическая промышленность, фармацевтика, нефте- и газодобыча, оборонная промышленность, а также политические организации и образовательные учреждения. Для компрометации веб-сайтов группировка использует эксплойты уязвимостей в Flash, Java и Windows, некоторым из которых уже четыре года.

«Они компрометируют сайты, которые, как они считают, могут посетить их цели, — отметил Уайт, добавив, что группировка создала фреймворк для получения цифровых отпечатков посетителей своих watering hole-сайтов. — Они наблюдают за тем, как их цели получают доступ к веб-сайтам, отслеживают IP-адреса, и на основе последних стараются выяснить, принадлежат ли они тому же сетевому блоку, что и интересующая их компания. Посетителям из тех же сетевых блоков подбрасывают эксплойты и другую вредоносную нагрузку».

Для вывода данных используются бэкдоры, созданные при помощи троянца PlugX, использование которого является еще одной отличительной чертой группировки Emissary Panda. Они также пользуются и хакерскими инструментами, применяемыми другими APT-группами, например, утилитой для удаленного доступа HttpBrowser (позволяет выгружать файлы и данные с зараженных машин), веб-оболочкой ChinaChopper и веб-утилитой Hunter (ищет уязвимости в серверах Apache Tomcat, JBoss и ColdFusion, а также позволяет обнаружить открытые порты, собрать веб-баннеры и загрузить вторичные файлы).

Группировка также, почти эксклюзивно, использует утилиту OWAauth, представляющую собой веб-оболочку и клавиатурный шпион для серверов Microsoft Exchange, и модифицированную версию шпионской программы ASPXTool для серверов Microsoft Internet Information Services.

Перечисленные инструменты помогают группировке создать в сети целевой организации опорную точку для дальнейших действий. При первоначальном проникновении атакующие стараются получить учетные данные для контроллера домена, которые позволят им свободно перемещаться внутри сети в пределах пары часов и начать извлекать данные в течение суток.

Проникнув в сеть, они создают список всех файлов, находящихся на сервере, при помощи рекурсивного листинга директорий.

«Они создают списки интересующей их информации и файловых систем, используемых на серверах или других хранилищах информации, — заявил Уайт. — Спустя несколько дней, они извлекают эти данные с серверов, согласно созданным ими спискам».

Группировка также с крайней осторожностью использует ценные уязвимости и эксплойты нулевого дня, особенно в тех случаях, когда можно обойтись и эксплойтом для пропатченной уязвимости. «Как мне кажется, они крайне удачно используют эксплойты для старых уязвимостей, — отметил эксперт. — Ведь особого смысла использовать эксплойты уязвимостей нулевого дня нет».

Источник: threatpost.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s