Недавний отчет Центра анализа угроз Qi’anxin обрисовывает угрозу, исходящую от группы кибершпионажа Belly Brainworm, также известной как Donot или APT-Q-38. Эта группа активно нацеливается на государства Южной Азии, включая Пакистан, Бангладеш и Шри-Ланку, и отличается изощренными методами проникновения в правительственные и бизнес-структуры с целью кражи конфиденциальной информации.
Способы атаки и тактики
Belly Brainworm использует два основных направления атак, которые включают:
- Маскировка вредоносных файлов: Группа прячет исполняемые файлы под PDF-документы, вводя пользователей в заблуждение.
- Фишинговые ссылки: Использование встроенных в PDF-файлы ссылок для загрузки вредоносных файлов PowerPoint, которые запускают макрокоды.
Одним из замеченных методов стало использование поддельных PDF-документов, которые призывают пользователей загрузить «дополнительные материалы». На практике это приводит к перенаправлению на сайты, откуда могут загружаться вредоносные PPT-файлы.
Архитектура атак
После активации исполняемого файла, маскирующегося под PDF, он подключается к серверу управления (C2) для получения дальнейших инструкций. В зависимости от среды, в которой находится жертва, наблюдаются следующие действия:
- Сбор метаданных устройства: информация об *операционной системе*, *учетных данных пользователя* и *установленном программном обеспечении* отправляется обратно на сервер C2 в зашифрованном виде.
- Вредоносные макросы в PPT адаптируются под 32-разрядную или 64-разрядную архитектуру системы, что позволяет атакующим адаптировать свои методы.
Новый уровень угроз
Согласно отчету Qi’anxin, постоянные запланированные задачи обеспечивают бесперебойную работу компонент вредоносного ПО, отражая предыдущие тактики группы, но в то же время внедряя инновационные методы доставки полезной нагрузки.
Импортные изменения в коде вредоносных программ указывают на возможную эволюцию операционного подхода Belly Brainworm, который все более активно использует PDF-файлы в качестве средства атаки. Это изменение, несомненно, сигнализирует о сдвиге в тактике, направленной на оптимизацию процессов атаки и улучшение уровня проникновения в системы жертв.
Рекомендации по кибербезопасности
В ответ на эти угрозы Центр анализа угроз Qi’anxin призывает пользователей проявлять бдительность в отношении фишинговых схем. Рекомендуется соблюдать следующие меры предосторожности:
- Избегать открытия нежелательных вложений в электронных письмах;
- Проверять подлинность неизвестных файлов перед их запуском или установкой.
Эти простые меры могут значительно снизить риск стать жертвой кибератак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Группа Belly Brainworm: новые тактики кибершпионажа в Южной Азии".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.