Исследователи Bitdefender недавно обнаружили, что группа APT StrongPity, нацеленная на жертв в Турции и Сирии, использует тактику «водопоя» для выборочного заражения жертв и развертывания трехуровневой инфраструктуры C&C для предотвращения судебных расследований.
Группа APT использовала популярные троянские инструменты, такие как:
- Архиваторы.
- Приложения для восстановления файлов.
- Приложения для удаленных подключений.
- Утилиты.
- ПО для обеспечения безопасности.
Данные, собранные во время расследования этой группы, показывают, что киберпреступники особенно заинтересованы в курдской общине, что раскрывает угрозу постоянных конфликтов в регионе.
Образцы, использованные в одной из кампаний атакующих, похоже, были отмечены с 1 октября 2019 года, что совпало с началом наступления Турции на северо-восток Сирии под кодовым названием Операция «Источник мира». Хотя прямых доказательств, подтверждающих, что группа StrongPity APT действовала в поддержку военных операций в Турции, не существует, профиль жертвы в сочетании с метками времени на проанализированных образцах представляет интересное совпадение.
Основные выводы:
- Потенциально финансируемая государством группировка APT с политической мотивацией.
- У злоумышленников есть возможность поиска и эксфильтрации любого файла или документа с машины жертвы. Тактика «Водопой» выборочно нацеливается на жертв в Турции и Сирии, используя заранее определенный список IP-адресов.
- Используется трехуровневая инфраструктура C&C для сокрытия следов и предотвращения судебных расследований.
- Используется полностью работающий троянский инструмент.
- Вероятнее всего, StrongPity спонсируется для реализации определенных проектов, так как исследованные файлы, относящиеся к испорченным приложениям, были скомпилированы с понедельника по пятницу в течение обычного 9–6 UTC + 2 рабочих часа.
- Жертвы проверяются на основе списка $ target, то есть злоумышленники могут доставить испорченную версию троянских приложений, если IP-адрес жертвы совпадает с найденным в файле. В противном случае будет предоставлена законная версия приложения. Тем не менее, исследователи обнаружили, что любое действительное соединение получит вредоносный установщик вместо чистого.
- Как только жертва скомпрометирована, вредоносные компоненты развертываются на компьютере жертвы. Запускается механизм поиска файлов, отвечающий за циклический просмотр дисков с поиском файлов с определенными расширениями. Если они найдены, они помещаются во временный zip-архив. Впоследствии они будут разбиты на скрытые зашифрованные файлы .sft, отправлены на сервер C&C и, в конечном счете, удалены с диска, чтобы скрыть любые следы эксфильтрации.
