Поддерживаемый государством китайский участник APT, отслеживаемый как «Antlion», использовал новый специальный бэкдор под названием «xPack» против финансовых организаций и производственных компаний.
Вредоносное ПО использовалось в кампании против целей на Тайване, которая, по мнению исследователей, продолжалась более 18 месяцев, с 2020 по 2021 год, что позволяло злоумышленникам проводить скрытые операции кибершпионажа.
Согласно отчету Symantec, компании Broadcom, предоставленному BleepingComputer, xPack позволяет злоумышленникам удаленно запускать команды WMI, использовать эксплойты EternalBlue и подключать общие ресурсы через SMB для доставки данных на сервер управления и контроля (C2).
В сети 250 дней
Подробности одной атаки показывают, что злоумышленник провел в скомпрометированной сети 175 дней. Однако исследователи Symantec, проанализировав две другие атаки, определили, что злоумышленник оставался незамеченным в сети в течение 250 дней.
Ключевую роль в достижении такого уровня скрытности сыграло использование нестандартных вредоносных программ, неизвестных аналитикам угроз.
xPack — это загрузчик .NET, который извлекает и выполняет зашифрованные с помощью AES полезные нагрузки, а также может выполнять системные команды и промежуточные данные для эксфильтрации.
Symantec также заметила следующие специальные инструменты, которые сопровождали xPack в этой кампании:
EHAGBPSL — пользовательский загрузчик C++
JpgRun — собственный загрузчик C++
CheckID — пользовательский загрузчик C++, основанный на аналогичном инструменте, используемом BlackHole RAT.
NetSessionEnum — инструмент подсчета пользовательских сеансов SMB.
ENCODE MMC — настраиваемый инструмент привязки/обратной передачи файлов
Инструмент золотого билета Kerberos на основе похитителя учетных данных Mimikatz
Antlion также использовал различные готовые и живущие за пределами земли (LoL) инструменты в сочетании с вышеперечисленным для достижения полной операционной способности без поднятия флагов безопасности.
Такие инструменты, как PowerShell, WMIC, ProcDump, LSASS и PsExec, были широко распространены в этой кампании, оставляя крохи доказательств, которые легко смешиваются с обычными функциями операционной системы.
Наконец, было также замечено, что субъекты использовали CVE-2019-1458 для повышения привилегий и удаленного планирования, что помогло запустить бэкдор.
Эта уязвимость недавно была включена в список активно используемых уязвимостей CISA, так что она по-прежнему остается привлекательным средством для многочисленных злоумышленников.
«В этих случаях, похоже, злоумышленники были заинтересованы в сборе информации из программного обеспечения, относящейся к деловым контактам, инвестициям и устройствам чтения смарт-карт».
В атаках, вскрытых аналитиками Symantec, xPack изначально использовался для сбора базовой информации о системе и запущенных процессах, а затем для сброса учетных данных.
После этого злоумышленники периодически возвращались и снова запускали xPack, чтобы украсть учетные данные с нескольких компьютеров в скомпрометированных организациях.
«Antlion» все еще активен и опасен
Считается, что Antlion занимается кибершпионажем как минимум с 2011 года, поэтому этот субъект уже более десяти лет остается угрозой для организаций.
Его интерес к тайваньским фирмам имеет политическое продолжение и соответствует операционной стратегии большинства китайских групп, спонсируемых государством.
Как подробно описано в отчете Symantec, конкретная кампания была сосредоточена на сбросе учетных данных из скомпрометированных систем и последующем использовании их для перемещения в горизонтальном направлении.
Вполне возможно, что Antlion поделился этими учетными данными с другими китайскими хакерскими группами, у которых была другая операционная направленность, поскольку деятели, работающие на одно и то же государство, часто сотрудничают.
Ссылка на статью https://lespartisanes.org/kitajskij-haker-antlion