С 2022 года Google Threat Intelligence Group (GTIG) активно занимается мониторингом кибершпионских атак, проводимых хакерами, связанными с Китаем. В центре внимания экспертов находится вредоносное ПО POISONPLUG.SHADOW, также известное как Shadowpad.
Технологические новшества
Злоумышленники применяют обфускационный компилятор под названием ScatterBrain, который является усовершенствованной версией ранее изученного компилятора ScatterBee. Этот инструмент используется для атаки на организации в Европе и Азиатско-Тихоокеанском регионе, особенно против хакерских групп, связанных с APT41.
Особенности POISONPLUG.SHADOW
POISONPLUG.SHADOW представляет собой продвинутый модульный бэкдор с высокими уровнями обфускации, который разрабатывался с целью избежать обнаружения и анализа. Основные аспекты защиты включают в себя:
- Выборочная или полная обфускация графа потока управления (CFG);
- Мутации команд;
- Полная защита импорта.
Каждый из этих механизмов затрудняет аналитикам понимание функциональности бэкдора, создавая значительные препятствия для специалистов по кибербезопасности.
Анализ и деобфускация
GTIG в сотрудничестве с командой FLARE занимается разработкой и анализом POISONPLUG.SHADOW с использованием современных методов обратного проектирования. Анализ компилятора ScatterBrain демонстрирует его постоянную эволюцию.
Для решения проблем, связанных с ScatterBrain, были разработаны подробные шаги по противодействию каждому из механизма защиты, что, в свою очередь, привело к созданию деобфускатора. Процесс деобфускации включает:
- Восстановление естественного потока управления;
- Восстановление исходной таблицы импорта;
- Генерацию деобфускированных исполняемых файлов.
Коллективные усилия в кибербезопасности
Публикация в блоге, посвященная разработке деобфускатора и анализу ScatterBrain, направлена на повышение коллективного понимания современных методов обфускации. Совместная работа команд GTIG и FLARE, а также такие специалисты, как Конор Куигли и Люк Дженкинс, подчеркивают важность коллективных инноваций в борьбе с киберугрозами.
В условиях постоянной эволюции тактик злоумышленников эти команды стремятся опережать их и укреплять систему кибербезопасности для защиты организаций и частных лиц.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Кибершпионаж: угроза POISONPLUG.SHADOW и технологии ScatterBrain".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.