Оффлайн
- Регистрация
- 03.11.22
- Сообщения
- 621
- Реакции
- 4
- Репутация
- 0
Исследователи ИБ-компании Trend Micro обнаружили ранее неизвестную китайскую APT-группу Earth Longzhi, которая нацелена на организации в Восточной Азии, Юго-Восточной Азии и Украине.
Злоумышленники действуют как минимум с 2020 года, используя специальные версии загрузчиков Cobalt Strike для установки постоянных бэкдоров в системы жертв.
Согласно новому отчету Trend Micro, у Earth Longzhi такие же TTPs, что и у группы Earth Baku. Считается, что обе группы входят в состав крупной поддерживаемой государством группировки APT41.
Отчет Trend Micro иллюстрирует две кампании, проведенные Earth Longzhi, первая из которых проводилась в период с мая 2020 года по февраль 2021 года. За это время хакеры атаковали несколько инфраструктурных компаний и правительственную организацию на Тайване, а также банк в Китае.
Хакеры использовали специальный загрузчик Cobalt Strike под названием «Symatic», который имеет сложную систему защиты от обнаружения, включающую следующие функции:
В этих атаках Earth Longzhi развернула новый набор пользовательских загрузчиков Cobalt Strike с различными функциями, среди которых содержится загрузчик BigpipeLoader.
BigpipeLoader использует неопубликованную загрузку DLL (WTSAPI32.dll) в легитимном приложении (wusa.exe) для запуска загрузчика (chrome.inf) и внедрения Cobalt Strike в память.
После запуска Cobalt Strike на цели хакеры используют специальную версию Mimikatz для кражи учетных данных и используют эксплойты «PrintNighmare» и «PrintSpoofer» для повышения привилегий. Чтобы отключить продукты безопасности на хосте, Earth Longzhi использует инструмент ProcBurner для завершения определенных запущенных процессов.
Следуя этой тактике, Earth Longzhi удалось оставаться незамеченной в течение как минимум 2,5 лет, и после их обнаружения исследователями Trend Micro они, вероятно, перейдут на новую тактику.
Злоумышленники действуют как минимум с 2020 года, используя специальные версии загрузчиков Cobalt Strike для установки постоянных бэкдоров в системы жертв.
Согласно новому отчету Trend Micro, у Earth Longzhi такие же TTPs, что и у группы Earth Baku. Считается, что обе группы входят в состав крупной поддерживаемой государством группировки APT41.
Отчет Trend Micro иллюстрирует две кампании, проведенные Earth Longzhi, первая из которых проводилась в период с мая 2020 года по февраль 2021 года. За это время хакеры атаковали несколько инфраструктурных компаний и правительственную организацию на Тайване, а также банк в Китае.
Хакеры использовали специальный загрузчик Cobalt Strike под названием «Symatic», который имеет сложную систему защиты от обнаружения, включающую следующие функции:
- Удаление перехватчика API из «ntdll.dll», получение необработанного содержимого файла и замена образа «ntdll» в памяти копией, не отслеживаемой средствами безопасности;
- Создание нового процесса для атаки «Process injection» и маскировка родительского процесса, чтобы запутать цепочку;
- Внедрение расшифрованной полезной нагрузки во вновь созданный процесс.
- открывать прокси-сервер SOCKS5;
- выполнять сканирование паролей на серверах MS SQL;
- отключать защиту файлов Windows;
- изменять временные метки файлов;
- сканировать порты;
- запускать новые процессы;
- перечислять файлы на дисках;
- выполнять команды с помощью «SQLExecDirect».
В этих атаках Earth Longzhi развернула новый набор пользовательских загрузчиков Cobalt Strike с различными функциями, среди которых содержится загрузчик BigpipeLoader.
BigpipeLoader использует неопубликованную загрузку DLL (WTSAPI32.dll) в легитимном приложении (wusa.exe) для запуска загрузчика (chrome.inf) и внедрения Cobalt Strike в память.
После запуска Cobalt Strike на цели хакеры используют специальную версию Mimikatz для кражи учетных данных и используют эксплойты «PrintNighmare» и «PrintSpoofer» для повышения привилегий. Чтобы отключить продукты безопасности на хосте, Earth Longzhi использует инструмент ProcBurner для завершения определенных запущенных процессов.
Следуя этой тактике, Earth Longzhi удалось оставаться незамеченной в течение как минимум 2,5 лет, и после их обнаружения исследователями Trend Micro они, вероятно, перейдут на новую тактику.