Eilė tikslinių kibernetinių atakų, prasidėjusių 2024 m. liepos mėn. pabaigoje, nukreiptų į dešimtis Rusijos vyriausybinėse organizacijose ir IT įmonėse naudojamų sistemų, yra susijusi su Kinijos APT31 ir APT 27 grupių įsilaužėliais.
Kaspersky, kuris atrado šią veiklą, pavadino kampaniją „EastWind“ ir pranešė, kad joje naudojama atnaujinta „CloudSorcerer“ užpakalinių durų versija, pastebėta panašioje kibernetinio šnipinėjimo kampanijoje 2024 m. gegužės mėn., Taip pat skirta Rusijos vyriausybės subjektams.
Reikėtų pažymėti, kad „CloudSorcerer“ veikla nėra susijusi su Rusija, nes „Proofpoint“ užfiksavo ataką, nukreiptą prieš JAV įsikūrusią ekspertų grupę 2024 m. gegužės mėn.
EastWind įrankių rinkinys
Pradinė infekcija priklauso nuo sukčiavimo el. laiškų, kuriuose yra RAR archyvo priedai, pavadinti taikinio vardu, kurie naudoja DLL šoninį įkėlimą, kad iš „Dropbox“ atsirastų sistemos užpakalinės durys ir atidaromas dokumentas apgaulės tikslais.
Užpakalinės durys gali naršyti failų sistemoje, vykdyti komandas, išfiltruoti duomenis arba įvesti papildomų naudingų apkrovų pažeistoje mašinoje.
„Kaspersky“ stebėjimai atskleidžia, kad užpuolikai pasinaudojo užpakalinėmis durimis, kad pristatytų Trojos arklį pavadinimu „GrewApacha“, kuris buvo susietas su APT31.
Naujausiame GrewApacha variante yra keletas patobulinimų, palyginti su paskutine analizuota 2023 m. versija, įskaitant dviejų komandų serverių naudojimą vietoj vieno, jų adreso saugojimą base64 koduotoje eilutėje GitHub profiliuose, iš kurių kenkėjiška programa jį nuskaito.
Šaltinis: Kaspersky
Kita kenkėjiška programa, kurią įkelia užpakalinės durys, yra atnaujinta versija CloudSorcerer supakuota su VMProtect, kad būtų išvengta vengimo.
„CloudSorcerer“ naudoja šifravimo apsaugos mechanizmą, skirtą užkirsti kelią jo vykdymui netikslinėse sistemose, naudodama unikalų raktų generavimo procesą, susietą su aukos kompiuteriu.
Vykdant programa (GetKey.exe) sugeneruoja unikalų keturių baitų skaičių pagal dabartinę sistemos būseną ir užšifruoja jį naudodama „Windows CryptProtectData“ funkciją, kad gautų unikalų, su sistema susietą šifruotą tekstą.
Jei kenkėjišką programą bandoma vykdyti bet kuriame kitame įrenginyje, sugeneruotas raktas skirsis, todėl CloudSorcerer naudingojo krovinio iššifravimas nepavyks.
Šaltinis: Kaspersky
Naujoji „CloudSorcerer“ versija taip pat naudoja viešuosius profilio puslapius, kad gautų pradinį C2 adresą, tačiau šiuo metu perėjo iš „GitHub“ į „Quora“ ir Rusijos socialinės žiniasklaidos tinklą „LiveJournal“.
Trečiasis implantas, pastebėtas per EastWind atakas, pristatytas per CloudSorcered, yra PlugYanksčiau nežinomos užpakalinės durys.
„PlugY“ pasižymi dideliu C2 ryšių universalumu ir galimybe vykdyti komandas, skirtas failų operacijoms, apvalkalo komandų vykdymui, ekrano fiksavimui, klavišų registravimui ir iškarpinės stebėjimui.
„Kaspersky“ analizė rodo, kad „PlugY“ naudojamas kodas anksčiau buvo pastebėtas APT27 grėsmių grupės atakose.
Be to, biblioteka, naudojama C2 ryšiams per UDP protokolą, yra tik DRBControl ir PlugX, kurie yra kenkėjiškų programų įrankiai, plačiai naudojami Kinijos grėsmių veikėjų.
Šaltinis: Kaspersky
„Kaspersky“ komentuoja, kad „EastWind“ atakų užpakalinės durys labai skiriasi, todėl aptikti jas visas pažeistame kompiuteryje yra sudėtinga. Kai kurie dalykai, į kuriuos reikia atkreipti dėmesį, yra šie:
- DLL failai, didesni nei 5 MB, esantys kataloge „C:\Users\Public“.
- Nepasirašyti „msedgeupdate.dll“ failai failų sistemoje
- Vykdomas procesas, pavadintas „msiexec.exe“, skirtas kiekvienam prisijungusiam vartotojui
Rusijos kibernetinio saugumo įmonė daro išvadą, kad APT27 ir APT31 greičiausiai dirba kartu „EastWind“.
Šis atvejis pabrėžia sudėtingą sąveiką tarp sąjungininkų šalių, turinčių stiprius diplomatinius ryšius ir turinčių bendrų strateginių tikslų, tačiau vykdančių aktyvias kibernetinio šnipinėjimo operacijas viena prieš kitą.
Bendradarbiavimas ekonomikos, saugumo ir karinėse srityse neužkerta kelio šešėlyje veikiančioms žvalgybos agentūroms pradėti sudėtingas ir siauros krypties šnipinėjimo operacijas, siekiant surinkti vertingą žvalgybos informaciją.
