Новости Earth Baku: невидимый страж Китая в вашей системе

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Группа расширяет арсенал для атак на правительственные и технологические компании.


4yr35xmdq2491tksq9kpjv0yai2p3qox.jpg


Специалисты Trend Micro Для просмотра ссылки Войди или Зарегистрируйся о новой кампании APT -группы Earth Baku, которая с конца 2022 года расширила деятельность в Европе, на Ближнем Востоке и в Африке. Хакеры используют общедоступные серверы IIS и используют сложные инструменты для эксфильтрации данных.

Впервые о деятельности Earth Baku (APT41) стало известно в 2021 году, но с конца 2022 года Earth Baku значительно расширила своё влияние, охватив Европу, Ближний Восток и Африку (MEA). За это время Earth Baku не только увеличила географию своих операций, но и обновила свои инструменты и тактики, что сделало её атаки ещё более изощрёнными и сложными для обнаружения.

Ранее Earth Baku концентрировала свои усилия в Индо-Тихоокеанском регионе, однако теперь её целями стали такие страны, как Италия, Германия, ОАЭ и Катар. В ходе расследования также были обнаружены следы деятельности группы в Грузии и Румынии. Главными объектами атак стали правительственные учреждения, медиа, телекоммуникационные компании, технологические корпорации, учреждения здравоохранения и образования.

Одной из ключевых особенностей новых операций Earth Baku стало использование IIS-серверов как начальной точки проникновения в системы жертв. Получив доступ, злоумышленники развёртывают веб-шелл Godzilla для сохранения контроля над скомпрометированным сервером. В дальнейшем на сервере устанавливаются инструменты StealthVector и StealthReacher, а также новый модульный бэкдор SneakCross.


jnm64ngpv77142i63n20yl14tsu6euem.png


Цепочка атаки Earth Baku

StealthVector и StealthReacher представляют собой загрузчики, которые позволяют запускать вредоносные компоненты Earth Baku в скрытом режиме. В 2023 году отмечалось, что в новой версии StealthVector добавлен алгоритм шифрования AES (ранее использовался ChaCha20), а также внедрены механизмы маскировки кода, что усложняет анализ.

StealthReacher является улучшенной версией StealthVector и предназначен для запуска бэкдора SneakCross, который использует сервисы Google в качестве C2 -серверов, что значительно усложняет обнаружение и блокировку инфраструктуры хакеров.

Благодаря своей модульной структуре, SneakCross может быть легко модифицирован и адаптирован под различные сценарии атак. Инструмент позволяет киберпреступникам проводить манипуляции с файлами, собирать системную информацию, зондировать сеть и даже регистрировать нажатия клавиш, что даёт широкий контроль над скомпрометированными системами.

В ходе атак на скомпрометированных системах Earth Baku использует следующие инструменты:


Для эксфильтрации данных хакеры используют Для просмотра ссылки Войди или Зарегистрируйся — инструмент командной строки для работы с облачным сервисом MEGA. Инструмент позволяет быстро передавать большие объёмы данных на удалённые серверы.

Новые методы и инструменты Earth Baku подчёркивают всё более сложный и продвинутый характер деятельности группы. Earth Baku становится всё более серьёзной угрозой в глобальном масштабе. Для защиты эксперты рекомендуют внедрять принцип наименьших привилегий, регулярно обновлять системы и приложения, а также разрабатывать проактивные стратегии реагирования на инциденты. Внедрение Для просмотра ссылки Войди или Зарегистрируйся поможет сохранить данные даже в случае успешной атаки.
 
Источник новости
www.securitylab.ru

Похожие темы