Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Дом
Oct 19, 2023
Копье земляной преты
APT и целевые атаки. Мы пресекаем кибершпионскую деятельность продвинутых
APT и целевые атаки
Мы раскрываем кибершпионскую деятельность группы продвинутых постоянных угроз (APT) Earth Preta, наблюдаемую в ходе крупномасштабных атак, начавшихся в марте. Мы также показываем процедуры заражения семейств вредоносных программ, которые они используют для заражения нескольких секторов по всему миру: TONEINS, TONESHELL и PUBLOAD.
Автор: Ник Дай, Вики Су, Санни Лу, 18 ноября 2022 г. Время чтения: (слова)
Сохранить в фолио
Мы отслеживаем волну целенаправленных фишинговых атак, направленных на правительственные, академические, фонды и исследовательские сектора по всему миру. Судя по документам-приманкам, которые мы наблюдали в дикой природе, это крупномасштабная кампания кибершпионажа, которая началась примерно в марте. После нескольких месяцев отслеживания, казалось бы, широкая вспышка целенаправленных атак охватывает, помимо прочего, Мьянму, Австралию, Филиппины, Японию и Тайвань. Мы проанализировали семейства вредоносных программ, использованных в этой кампании, и приписали инциденты печально известной группе продвинутых постоянных угроз (APT) под названием Earth Preta (также известной как Mustang Panda и Bronze President).
Наблюдая за кампаниями, мы отметили, что Earth Preta злоупотребляла фейковыми учетными записями Google для распространения вредоносного ПО через целевые фишинговые электронные письма, которые изначально хранились в архивном файле (например, rar/zip/jar) и распространялись через ссылки на Google Диск. Затем пользователей заставляют загружать и запускать вредоносные программы TONEINS, TONESHELL и PUBLOAD. О PUBLOAD сообщалось ранее, но мы добавляем в эту запись новые технические сведения, которые связывают его с TONEINS и TONESHELL, недавно обнаруженными семействами вредоносных программ, которые группа использует для своих кампаний.
Кроме того, злоумышленники используют различные методы уклонения от обнаружения и анализа, такие как запутывание кода и специальные обработчики исключений. Мы также обнаружили, что отправители целевых фишинговых писем и владельцы ссылок на Google Диск одни и те же. Основываясь на образцах документов, которые использовались для заманивания жертв, мы также полагаем, что злоумышленникам удалось провести исследование и, возможно, предварительные взломы в целевых организациях, что позволило узнать их, как указано в сокращении имен из ранее скомпрометированных учетных записей. .
В этой записи блога мы обсуждаем новую кампанию Earth Preta и ее тактику, методы и процедуры (TTP), включая новые установщики и бэкдоры. Наконец, мы рассказываем, как специалисты по безопасности могут отслеживать угрозы вредоносного ПО, аналогичные тем, которые мы выявили.
Первоначальный компромисс и цели
Судя по нашему мониторингу этой угрозы, ложные документы написаны на бирманском языке, а их содержание имеет вид «လျှို့ဝှက်ချက်» («только для внутреннего использования»). Большинство тем в документах являются спорными вопросами между странами и содержат такие слова, как «Секретно» или «Конфиденциально». Это может указывать на то, что злоумышленники нацелены на правительственные учреждения Мьянмы в качестве своей первой точки входа. Это также может означать, что злоумышленники уже скомпрометировали определенные политические организации еще до атаки, что ранее отмечала Talos Intelligence.
Злоумышленники используют украденные документы в качестве приманки, чтобы обманом заставить целевые организации, работающие с правительственными учреждениями Мьянмы, загрузить и запустить вредоносные файлы. Виктимология охватывает широкий спектр организаций и вертикалей по всему миру, с большей концентрацией в Азиатско-Тихоокеанском регионе. Помимо правительственных учреждений, сотрудничающих с Мьянмой, последующими жертвами стали, среди прочего, образовательная и исследовательская отрасли. Помимо тем-ловушек, освещающих текущие международные мероприятия, касающиеся конкретных организаций, злоумышленники также заманивают людей тематическими рубриками, имеющими отношение к порнографическим материалам.
Анализ рутины
Earth Preta использует целевые фишинговые электронные письма в качестве первого шага к вторжению. Как уже упоминалось, некоторые темы и содержание электронных писем касаются геополитических тем, тогда как другие могут содержать сенсационные темы. Мы заметили, что во все проанализированные нами электронные письма были встроены ссылки на Google Диск, что указывает на то, как пользователей можно обманом заставить загрузить вредоносные архивы. Типы файлов архивов включают сжатые файлы, такие как .rar, .zip и .jar, и это лишь некоторые из них. Пройдя по ссылкам, мы узнали, что в архивах содержатся вредоносные программы семейств TONEINS, TONESHELL и PUBLOAD.