Хотим сказать дорогим подписчикам, что мы не забыли про обзоры APT и сейчас готовим очередные материалы, посвященные северокорейским хакерским группам.

Но дело в том, что эти Хон Гиль Доны наворотили столько, что мы в первичке просто закопались. Тем не менее, мы упрямо пытаемся затолкать все это в формат Телеграм.

Подождите, дети, дайте только срок.
Будет вам и белка, будет и свисток (с)

#APT #Lazarus #Kimsuky

А пока мы пишем (и все никак не допишем, shame on us) обзор про северокорейских хакеров из APT Lazarus, они хулиганить не прекращают.

Команда исследователей RedDrip Team китайской инфосек компании QiAnXin Technology нашла вредонос от Lazarus, маскирующийся под предложение о работе от компании Disney. Для размещения управляющего центра корейские хакеры взломали сервер известной итальянской фирмы Paghera, специализирующейся на ландшафтном дизайне.

А подчиненные Ким Чен Ына умеют веселиться.

Никому предложение о трудоустройстве в Disney не приходило? Мы, кстати, сейчас не шутим, поскольку Lazarus, в числе прочего, были замечены и в работе по российским пользователям.

#APT #Lazarus

https://twitter.com/RedDrip7/status/1270201358721769475

​​В ходе расследования ресерчеры обнаружили в коде используемых хакерами вредоносов вставки на корейском языке, что дало основание полагать, что DarkHotel являются корейской группой. Но какой из Корей – Северной или Южной? Китайские исследователи без сомнений утверждают, что хакеры родом из Сеула. И этому есть определенные подтверждения - например, принцип выбор целей в ходе скоординированных кампаний.

Кстати, в ходе своих операций DarkHotel продемонстрировали возможность взлома 512-битных RSA-ключей (они использовали их для подписей поддельных сертификатов). Для этого требовались на тот момент весьма мощные системы. Еще один плюс в столбик того, что DarkHotel – это южнокорейские спецслужбы.

#APT #DarkHotel

​​Обострение геополитической обстановки между Китаем и Индией влечет за собой обострение и в киберпространстве.

Как мы знаем, активность, например, индийских хакерских групп достаточно точно коррелирует с различными геополитическими событиями, в которые вовлечена Индия. Пекин тоже не остается в долгу. И если деятельность APT не всегда видна, то результаты работы национальных инфосек команд часто оказываются на публике.

Вчера китайская исследовательская группа Shadow Chaser Group опубликовала отчет, в котором расчехлила индийскую APT SideWinder (про деятельность этой группы на пакистанском направлении мы писали не так давно). Можно расценивать это как своего рода ответ на активность индийцев в киберпространстве, направленной на китайские сети.

Что же говорят китайцы?

Они называют SideWinder индийской хакерской группой, которая сосредоточена на Пакистане и Юго-Восточной Азии. Основная цель - кража конфиденциальной информации правительственных ресурсов, а также военных организаций и предприятий энергетической и добывающей отраслей. Основной метод - фишинг.

Shadow Chaser Group детально рассматривает атаки SideWinder на организации Пакистана и Бангладеш, а также киберкампанию против неназванного китайского научного института, специализирующегося на борьбе с эпидемией коронавируса весной 2020 года.

Последняя деталь особенно интересна, потому что ранее мы знали про атаки на ресурсы китайских медицинских организаций в разгар эпидемии COVID-19 со стороны южнокорейской APT DarkHotel и вьетнамской Ocean Lotus. Теперь оказывается, что индийские хакеры также активно отрабатывали тему.

Ответят ли индийские инфосек ресерчеры анализом деятельности Winnti или какой-нибудь Override Panda?

#APT #SideWinder

Наши любимцы из северокорейской APT Lazarus, которая является, пожалуй, самой активной хакерской группой в мире, в очередной раз проявились.

Вчера команда исследователей GReAT Лаборатории Касперского опубликовала отчет, в котором описала выявленную вредоносную кампанию получившую название MATA, активную с апреля 2018 года.

MATA - это модульная вредоносная структура с несколькими компонентами, в которую входят загрузчик, оркестратор и набор плагинов, способная заражать машины под управлением Windows, Linux и macOS. Позволяет хакерам брать практически под полный контроль скомпрометированную систему и используется для проникновения в атакуемую сеть.

В качестве целей выступали корпоративные сети Польши, Германии, Турции, Южной Кореи, Японии и Индии. Основная задача - нахождение и эксфильтрация баз данных с конфиденциальной информацией атакованной компании.

Анализ TTPs показал, что за кибероперацией MATA стоит Lazarus. Основным доказательством послужили уникальные обозначения компонентов вредоносного ПО, ранее использовавшиеся в трояне Manuscrypt (он же FALLCHILL или Volgmer) за авторством северокорейских хакеров, а также сходства в механизмах их работы.

#APT #Lazarus

​​И снова Lazarus.

На прошлой неделе Лаборатория Касперского выпустила отчет о выявленной кибероперации MATA, в процессе которой северокорейская APT Lazarus использовала модульную вредоносную структуру, способную заражать машины под управлением Windows, Linux и macOS, для атак на корпоративные сети Польши, Германии, Турции, Южной Кореи, Японии и Индии. Мы писали про это здесь.

Сегодня Касперские выпустили новый отчет, в котором рассказали про выявленный в этом году инцидент с заражением некой европейской компании неизвестным ранее ransomware VHD. Среди любопытных фишек VHD - "нестандартная криптография" с использованием генератора псевдослучайных чисел Вихрь Мерсенна и шифрование файлов комбинацией AES-256 в режиме ECB и RSA-2048.

Но гораздо интереснее то, что методика распространения вымогателя внутри атакованной сети сильно напоминала используемую APT, а конкретнее - применявшуюся в киберкампаниях Sony, Shamoon и OlympicDestroyer (намек в сторону Lazarus).

И вот, спустя два месяца ЛК получила данные в отношении второго инцидента, в котором атакованная сеть была скомпрометирована через уязвимый VPN-шлюз, а бэкдор, использовавшийся хакерами во время распространения вымогателя VHD, являлся частью вредоносной платформы MATA, что окончательно доказало тот факт, что оператором ransomware VHD является северокорейская группа Lazarus.

Заметим, что, скорее всего, это не первая попытка Lazarus "поиграть" в ransom, ведь авторство всем известного WannaCry также предписывается хакерам из КНДР. Да и неудивительно - северокорейцам всегда необходимо дополнительное финансирование своих киберопераций.

Тем не менее, с точки зрения прогосударственной APT выход на "рынок" ransomware - шаг весьма неординарный. До сих пор единственная аналогия, которая приходит нам в голову - заявления некоторых инфосек экспертов о причастности Cozy Bear и Fancy Bear к созданию вымогателя Maze (весьма спорные, по нашему мнению).

#APT #Lazarus

Расследующий деятельность APT Twitter-аккаунт blackorbird, за которым, судя по всему, стоят китайские инфосек эксперты, опубликовал пост со ссылкой на проведенное специалистами китайской инфосек компании Antiy расследование кибершпионской активности APT-C-01. Мы полезли посмотреть и немного зависли.

Дело в том, что APT-C-01 нам неизвестна. И большинству западных инфосек экспертов тоже. А вот в Китае, судя по всему, у нее богатая история. Достаточно сказать, что из шести найденных нами наименований группы - 3 на китайском, а остальные, в том числе и APT-C-01, даны китайскими инфосек компаниями. Мы же будем использовать обозначение PoisonVine.

Еще более интересным является место происхождения хакерской группы - Тайвань. А наиболее ранняя активность APT датируется 2007 годом. Видимо поэтому, а также по причине того, что работает группа преимущественно по Китаю, в западном инфосек сообществе ее не особо знают.

Завтра мы постараемся дать более подробный разбор кибершпионских операций PoisonVine, а сегодня хотелось бы сделать еще одну заметку.

В одном из китайских отчетов 2018 года мы нашли следующую фразу - "в последние несколько лет Antiy внимательно отслеживала атаки различных APT против Китая, таких как White Elephant или Equation".

Ой, вэй, подумали мы, таки в нашем кибуце будет дискотэка. Ведь раньше о деятельности Equation против Китая ничего не было известно, хотя мы и предполагали, что при запрете американцами Huawei без АНБшных хакеров не обошлось.

Понятно, что китайский инфосек - это вещь в себе, чем-то похожий на горизонт вероятности черной дыры. То есть какая-то информация, конечно, оттуда доносится, но в формате излучения Хокинга - мало и хрен чего поймешь. А тут прямое свидетельство того, что китайцы отслеживают Equation, хотя в остальном мире их потеряли.

Будем смотреть дальше, вдруг чего еще найдем.

#APT #APTC01 #PoisonVine

​​Американское Агентство кибербезопасности (CISA) совместно с ФБР вчера выпустили отчет о новом вредоносе, используемом северокорейской APT Lazarus (американцы традиционно называют групп Hidden Cobra).

Вредонос представляет собой RAT (троян удаленного доступа), получивший название BLINDINGCAN. Он предназначен для сбора информации с зараженного хоста и ее эксфильтрации, а также обладает функционалом по очистке следов своего присутствия в атакованной системе.

Механизм распространения BLINDINGCAN - целевой фишинг, объектами атаки являлись сотрудники оборонного и аэрокосмического сектора. Северокорейские хакеры выдавали себя за рекрутеров крупных корпораций, а в ходе собеседования присылали файлы с вредоносным вложением.

Одной из используемых шаблонных фраз было предложение "работы мечты" (dream job). Поэтому инфосек вендор ClearSky назвал эту кампанию северокорейских хакеров Operation Dream Job.

А мы в который раз убеждаемся, что Lazarus - самая активная прогосударственная хакерская группа на планете.

#APT #Lazarus

Мы, видимо, в последнее время так много писали про Касперских, что нас стали спрашивать - не сидим ли мы у них на зарплате. Но мы, серьезно, не виноваты, что птенцы Евгения Валентиновича Маска в последний месяц выдают на гора один интересный отчет за другим.

Кстати, когда мы подряд давали несколько постов про хорошие обзоры Trend Micro никто нас про зарплату от японцев не спрашивал. Обидно.

Мы это пишем, как подписчики наверное догадались, к очередному интересному материалу Касперских.

Исследователи обнаружили очень редкую разновидность APT, которая не является ни прогосударственной, ни коммерческой. Новой хакерской группе дали название Death Stalker. Она занимается тем, что в рамках корпоративных войн по заказу взламывает юридические и финансовые компании, чтобы получить доступ к конфиденциальной информации. Эдакие солдаты удачи сетевого мира.

Найденный Касперскими PowerShell-имплант, который Death Stalker использует в целевом фишинге и получивший название Powersing, весьма сложен и свидетельствует о высоком уровне его разработчиков. Он эффективно шифруется, проверяет наличие sandbox и виртуальных машин.

Death Stalker используют общедоступные сервисы для передачи команд своим вредоносам - ресерчеры нашли такие сообщения в Google+, Reddit, Tumblr, Twitter, YouTube и др. Причем делает это в несколько этапов. Из первого сообщения Powersing считывает ключ AES, который затем использует для расшифровки числа из другого сообщения, а уже из полученного целого числа извлекает IP-адрес управляющего центра.

Проведя поиск подобных управляющих сообщений исследователи установили, что группа работает как минимум с августа 2017 года. Также они установили возможную связь Powersing с другими вредоносами - Janicab и Evilnum, которые используют похожие механизмы получения адресов управляющих центров. Исходя из этого, ресерчеры cо "средней вероятностью" утверждают, что Janicab и Evilnum также управляются Death Stalker.

Это же подтверждают некие "дополнительные данные, предоставленные отраслевыми партнерами", но Касперские их никому не покажут. Нахрена тогда про них писать...

Активность Powersing была зафиксирована в Аргентине, Китае, Кипре, Израиле, Ливане, Швейцарии, Тайване, Турции, Великобритании и ОАЭ. И если предположения Касперских про то, что Death Stalker используют также и Janicab, верны, то это означает, что хакерская группа активно работает как минимум с 2012 года.

#APT #DeathStalker

Сегодня в ночи Коммерсант выпустил материал, в котором со ссылкой на Positive Technologies сообщил о том, что китайская APT Winnti активно пытается подломать российские компании, среди которых пять разработчиков банковского ПО и одна строительная фирма.

В целом статья грамотная, за исключением некоторых комментариев экспертов о том, что ранее Winnti не работали по российским компаниям - работали и не раз. Но про то, что Winnti - одни из "королей" атак на цепочку поставок, - абсолютная правда. Достаточно только вспомнить о компрометации расходящихся многомиллиоными тиражами утилит CCleaner и ASUS Live Update, а также про внедрение бэкдора SOGU в инсталляторы игр Path of Exile, League of Legends и FIFA Online 3.

Ну и про 50 зараженных Winnti компьютеров по всему миру смешно, конечно.

По идее, после выявления подобной масштабной атаки иностранной APT на российских разработчиков банковского ПО у офиса Позитивов сейчас должны стоять с мигалками машины ЦИБ ФСБ, БСТМ МВД и ЦБ, а в сети должны расходиться пресс-релизы о подробностях атак и используемых китайцами уязвимостях (как это делают американская CISA и британский NCSC).

Но не стоят. И пресс-релизов не будет. И такое отношение государства - самое страшное в отечественной информационной безопасности. Михаил Владимирович, может не надо цифровой экономики? Эту бы прикрыть.

#APT #Winnti

Когда-то давным-давно, несколько месяцев назад, мы написали серию постов про ведущую северокорейскую APT Lazarus и обещали продолжить ее материалами про другую хакерскую группу, работающую на спецслужбы КНДР и носящую название Kimsuky. Однако, тогда не срослось.

И вот теперь мы решили выполнить обещание и дать краткий обзор активности этой APT в несколько постов.

Напомним как связаны Lazarus и Kimsuky. Эти хакерские группы работают на разные департаменты Главного разведывательного бюро (RGB) Генштаба Народной армии Северной Кореи. Lazarus работает на 3-й Департамент RGB aka Bureau 121, который специализируется на технической разведке, а Kimsuky функционирует под контролем 5-го Департамента RGB aka Bureau 35, занимающегося разведкой зарубежной.

И хотя по масштабу своей деятельности Kimsuky (она же Velvet Chollima, она же Thallium, она же Black Banshee) не сравнится со своими коллегами из технической разведки, тем не менее в ее багаже есть немало интересных киберопераций.

Впервые северокорейская APT была обнаружена в 2013 году, как ни странно, Касперскими. Однажды в сети южнокорейского think-tank исследователи нашли шпионский вредонос, в коде которого содержались корейские иероглифы и который для связи использовал публичный болгарский почтовый сервер. Среди целей malware значились ведущие южнокорейские исследовательские центры, связанные с национальной безопасностью и оборонкой, а также Министерство объединения Южной Кореи, разрабатывающее политику в отношение КНДР.

Предполагаемым способом заражения был целевой фишинг. По своему функционалу вредонос представлял собой полноценный шпионский RAT (троян удаленного доступа), способный собирать различную информацию с зараженной машины, а также обеспечивать удаленное управление. Связь и эксфильтрация украденной информации осуществлялась посредством обмена электронной почтой между ящиками на болгарском сервере mail.bg.

Кстати, при изучения функционала вредоноса по обходу анивирусных решений Касперские нашли любопытную вещь — RAT сосредотачивался на обходе антивирусного ПО исключительно производства южнокорейской компании AhnLab. Все дело в том, что регуляторные органы Южной Кореи занимали достаточно жесткую позицию в части максимального сокращения использования внутри страны антивирусов иностранного производства. Зная это, авторы найденного вредоноса даже не пытались обходить другие средства защиты кроме AhnLab.

Ряд признаков, такие как выбор целей, использование корейского языка, IP-адреса, принадлежащие работающему с КНДР китайскому провайдеру, позволяли с большой долей уверенности утверждать, что хакерская группа, стоящая за распространением вредоноса, который Касперские назвали Kimsuky, базируется в Северной Корее. Впоследствии, как это часто бывает, по названию malware стали именовать и саму группу — Kimsuky.

Почему Kimsuky? Один из используемых хакерами почтовых ящиков был зарегистрирован на имя kimsukyang. Поэтому исследователи и присвоили RAT такое название.

#APT #Kimsuky

​​В следующий раз Kimsuky выступили в конце 2014 года и шоу получилось громким. Они взломали сеть южнокорейской компании Korea Hydro and Nuclear Power (KHNP), являющейся оператором 23 ядерных реакторов в Южной Корее. И хотя власти сразу же заявили, что пострадали только «некритические» сегменты сети, вскоре стало ясно, что хакеры ухитрились украсть массу конфиденциальной информации, хотя и не смогли добраться до технологических сетей.

Kimsuky стали разыгрывать ту же сценку, которую ранее в 2014 году показали Lazarus при взломе Sony Pictures Entertainment, - изображать из себя долбанутых борцов за что-то там, которые осуществили взлом из идеологических соображений. Lazarus представлялись хакерской группой Guardians of Peace, а Kimsuky завели от имени «борцов с ядерной энергетикой с Гавайских островов» Twitter-аккаунт «Who am I = No Nuclear Power», в котором начали сливать украденные у KHNP сведения.

Для начала хакеры опубликовали персональные данные сотрудников компании и несколько конфиденциальных документов, среди которых были руководство по управлению ядерными реакторами Wolsong и чертежи трубопровода реактора Wolsong №1. После этого «борцы с ядерной энергетикой» потребовали закрыть к католическому Рождеству три ядерных реактора, иначе они продолжат публикацию украденных данных. Естественно, что реакторы никто закрывать не стал.

В марте северокорейские разведчики продолжили веселиться в стиле офицера-контрразведчика из фильма ДМБ - «денег предлагал, но не дал». Они опубликовали в том же Twitter требование денежной выплаты за приостановку дальнейшей публикации информации KHNP, но ни способа передачи денег, ни даже требуемую сумму не указали. В конце концов Kimsuky слили в Twitter чертежи южнокорейского атомного реактора 1400.

Доподлинно неизвестно, было ли все это запланировано с самого начала или северокорейцы импровизировали по ходу дела, после того как не сумели пробиться к технологичесим сетям KHNP. Но звон по Южной Корее пошел что надо.

После этого Kimsuky ушли в тину на долгих четыре года. По крайней мере, никто не смог с достаточной степенью достоверности идентифицировать их активность. А в 2018 году они вернулись с операциями BabyCoin и MysteryBaby, в ходе которых пытались внедрить инфостилеры на компьюетры южнокорейских пользователей. Однако, мы не будем на них останавливаться, там нет ничего особенного.

Между этими операциями северокорейские хакеры ухитрились очень неловко напасть на академические учреждения США, эта кибероперация получила название Stolen Pencil. Неловкость заключалась в низком техническом уровне атаки, в ходе которой, к примеру, для осуществления удаленного доступа хакеры использовали Microsoft RDP (удаленный рабочий стол), а не какой-нибудь RAT. В одном случае корейский оператор, видимо с устали, забыл переключить назад корейскую раскладку клавиатуры. Вместе с тем, возможно, что за такой стояла не Kimsuky, а другая, менее скилованная, хакерская группа.

С конца 2018 по весну 2019 года Kimsuky атаковали американские исследовательские институты, специализирующиеся на вопросах денуклеаризации. В ходе атаки они использовали оригинальный вредонос BabyShark, который распространялся посредством фишингового письма от имени реально существующего в США специалиста по ядерным технологиям. Спустя пару месяцев атака распространилась на компании, связанные с криптовалютами. Подобное поведение по смешиванию кибершпионажа и коммерческого взлома вообще свойственно северокорейским APT, которые периодически испытывают затруднения с финансированием. Достаточно вспомнить Lazarus с их попыткой украсть миллиард долларов.

Продолжение следует.

#APT #Kimsuky

Исследователи из индийской инфосек компании Quick Heal опубликовали материал в отношении кибероперации SideCopy, проводимой с начала 2019 года в отношении индийских вооенных учреждений.

Индийцы выявили три вектора атаки, во всех в качестве первичного заражения использовался целевой фишинг. В качестве приманки использовался документ, посвященный политике оборонного производства Индии.

В принципе, ничего выдающегося в SideCopy нет - стандартные приемы APT, кроме одной особенности. Согласно утверждениям индийцев, хакерская группа, стоящая за операцией, частично копирует TTPs индийской же APT SideWinder. В то же время, управляющая инфраструктура и набор инструментов (в том числе описанный ранее Касперскими Crimson RAT) указывают на пакистанскую APT Transparent Tribe. Мы рассказывали про проделки пакистанских хакеров здесь.

По всей видимости, пакистанцы решили потроллить своих индийских визави.

#APT #TransparentTribe

Malwarebytes представили материал о выявленной 17 сентября атаке Kraken, в ходе которой полезная нагрузка помещается внутрь службы Windows Error Reporting (WER).

В качестве первичного проникновения хакеры использовали фишинговые письма с информацией о правах работников на компенсацию (хороший ход). Полезная нагрузка в виде библиотеки kraken.dll загружается с предварительно скомпрометированного сайта и внедряет вредоносный шелл-код в исполняемый файл WerFault.exe.

Далее вредонос осуществляет несколько проверок - например, пытается выяснить находится ли он в песочнице или виртуальной машине. Если проверки прошли нормально, то расшифровывает окончательный шелл-код и помещает его в выделенную область памяти.

Этот шелл-код, в свою очередь, создает еще одну выделенную область памяти и загружает в нее вредоносные модули с предварительно определенного домена. Что это за модули ресерчеры не выяснили, поскольку на момент исследования домен был недоступен.

Таким образом, Kraken является безфайловой атакой, которая очень похожа на активность прогосударственной APT.

Malwarebytes не смогли с достаточной степенью достоверности установить кто из APT является автором Kraken, но некоторые TTPs позволяют предположить, что это были хакеры из вьетнамской Ocean Lotus aka APT 32.

Про вьетнамцев мы писали здесь - это весьма профессиональные хакеры, заточенные на кибершпионаж в отношении как государственных структур (например, МЧС Китая), так и крупных коммерческие компании (вьетнамцы ломали Toyota и Lexus, BMW, Hyundai).

#APT #OceanLotus