Поделиться
Исследование APT-атаки на телекоммуникационную компанию в Казахстане
В октябре 2021 г. в «Доктор Веб» обратилась одна из казахстанских телекоммуникационных компаний с подозрением на наличие вредоносного ПО в корпоративной сети. При первичном осмотре были обнаружены бэкдоры, ранее использовавшиеся лишь в целевых атаках. В ходе расследования удалось установить, что компрометация внутренних серверов компании началась еще в 2019 г. На протяжении нескольких лет основными инструментами злоумышленников были Backdoor.PlugX.93 и BackDoor.Whitebird.30, утилиты Fast Reverse Proxy (FRP), а также RemCom. Об этом CNews сообщили представители «Доктор Веб».
Благодаря ошибке хакеров эксперты «Доктор Веб» получили уникальную возможность изучить списки жертв, а также узнали, какие инструменты управления бэкдорами были использованы. Исходя из добытой информации можно сделать вывод о том, что хакерская группировка специализировалась на компрометации почтовых серверов азиатских компаний с установленным ПО Microsoft Exchange. Однако есть жертвы и из других стран, среди которых: государственное учреждение Египта; аэропорт в Италии; маркетинговая компания из США; транспортная и деревообрабатывающая компании из Канады.
В логи, собранные вместе с управляющим сервером, попали жертвы, зараженные с августа 2021 г. до начала ноября 2021 г.. При этом в некоторых случаях BackDoor.Whitebird.30 был установлен не только на сервер с Microsoft Exchange, но и на контроллеры домена.
На основе использованных инструментов, методов и инфраструктуры эксперты «Доктор Веб» сделали вывод, что за атакой стоит хакерская группировка Calypso APT.
Управляющий сервер для BackDoor.Whitebird.30 называется Remote Rover. Он позволяет удаленно запускать приложения, обновлять конфигурацию бэкдора, а также скачивать и загружать файлы. Помимо этого, с помощью Remote Rover можно использовать командную оболочку.
К Remote Rover прилагался конфигурационный файл CFG\default.ini, имеющий следующее содержание:
E:\个人专用\自主研发远程\2021\RR\配置备份\telecom.cfg OneClock.exe
Если перевести содержание с китайского языка на английский, то можно получить такой путь:
E:\personal use\Independent research and development remote\2021\RR\Configuration backup\telecom.cfg
Заключение
В ходе расследования целевой атаки вирусные аналитики «Доктор Веб» нашли и описали несколько бэкдоров и троянов. Стоит отметить, что злоумышленникам удавалось оставаться незамеченными так же долго, как это было и при других инцидентах, связанных с целевыми атаками. Хакерская группировка скомпрометировала сеть телекоммуникационной компании более двух лет назад.
Специалисты компании «Доктор Веб» рекомендуют регулярно проверять работоспособность сетевых ресурсов и своевременно фиксировать сбои, которые могут свидетельствовать о наличии в сети вредоносного ПО. Основная опасность целевых атак заключается не только в компрометации данных, но и в длительном присутствии злоумышленников. Подобный сценарий позволяет им долгие годы контролировать работу организации, чтобы в нужный момент получить доступ к особенно чувствительной информации.
Короткая ссылка
