Найти тему
Bitdefender Россия

StrongPity APT – выявление троянских инструментов, рабочих часов и инфраструктуры

Исследователи Bitdefender недавно обнаружили, что группа APT StrongPity, нацеленная на жертв в Турции и Сирии, использует тактику «водопоя» для выборочного заражения жертв и развертывания трехуровневой инфраструктуры C&C для предотвращения судебных расследований.

Группа APT использовала популярные троянские инструменты, такие как:

  • Архиваторы.
  • Приложения для восстановления файлов.
  • Приложения для удаленных подключений.
  • Утилиты.
  • ПО для обеспечения безопасности.

Данные, собранные во время расследования этой группы, показывают, что киберпреступники особенно заинтересованы в курдской общине, что раскрывает угрозу постоянных конфликтов в регионе.

Образцы, использованные в одной из кампаний атакующих, похоже, были отмечены с 1 октября 2019 года, что совпало с началом наступления Турции на северо-восток Сирии под кодовым названием Операция «Источник мира». Хотя прямых доказательств, подтверждающих, что группа StrongPity APT действовала в поддержку военных операций в Турции, не существует, профиль жертвы в сочетании с метками времени на проанализированных образцах представляет интересное совпадение.

Основные выводы:

  • Потенциально финансируемая государством группировка APT с политической мотивацией.
  • У злоумышленников есть возможность поиска и эксфильтрации любого файла или документа с машины жертвы. Тактика «Водопой» выборочно нацеливается на жертв в Турции и Сирии, используя заранее определенный список IP-адресов.
  • Используется трехуровневая инфраструктура C&C для сокрытия следов и предотвращения судебных расследований.
  • Используется полностью работающий троянский инструмент.
  • Вероятнее всего, StrongPity спонсируется для реализации определенных проектов, так как исследованные файлы, относящиеся к испорченным приложениям, были скомпилированы с понедельника по пятницу в течение обычного 9–6 UTC + 2 рабочих часа.
  • Жертвы проверяются на основе списка $ target, то есть злоумышленники могут доставить испорченную версию троянских приложений, если IP-адрес жертвы совпадает с найденным в файле. В противном случае будет предоставлена ​​законная версия приложения. Тем не менее, исследователи обнаружили, что любое действительное соединение получит вредоносный установщик вместо чистого.
  • Как только жертва скомпрометирована, вредоносные компоненты развертываются на компьютере жертвы. Запускается механизм поиска файлов, отвечающий за циклический просмотр дисков с поиском файлов с определенными расширениями. Если они найдены, они помещаются во временный zip-архив. Впоследствии они будут разбиты на скрытые зашифрованные файлы .sft, отправлены на сервер C&C и, в конечном счете, удалены с диска, чтобы скрыть любые следы эксфильтрации.