Недавний отчет команды Red Raindrop продемонстрировал возникновение нового киберугрозы, связанной с хакером, известным под именем UTG-Q-017. Этот опытный злоумышленник специализируется на краже секретных данных с использованием быстрого и эффективного метода, что ставит под угрозу как частные компании, так и государственные структуры.
Появление UTG-Q-017
Группа UTG-Q-017 впервые появилась в августе 2024 года и сразу нацелилась на политические предприятия. Атаки этой организации характеризуются:
- Выполнением шеллкода без использования файлов, что минимизирует риски обнаружения;
- Быстрой кражей данных, происходящей в течение 3-5 минут после использования целевых приложений;
- Использованием уязвимости в Google Chrome, специфичной для версии 109.0.5414.120, последней, совместимой с Windows 7.
Цепочка атак и технологии
Согласно отчету, атаки UTG-Q-017 включают использование шеллкода загрузчика, который вводится непосредственно в системную память, позволяя внедрить вредоносную программу под названием Lumma Stealer. Бесфайловый подход предоставляется следующими преимуществами:
- Работа вредоносного ПО в течение короткого времени — до 1-2 дней;
- Изменение инфраструктуры управления (C2) с огромным числом IP-адресов и доменных имен.
Организация использует около 500 IP-адресов, связанных с почти 1600 доменными именами. Если учитывать домены, встроенные в Lumma Stealer, общее количество доменов может достигать до 6000, что подчеркивает значительные инвестиции в развитие их атакующих методов.
Стратегия и скрытность
UTG-Q-017 придерживается стратегии одноразового использования C2, что позволяет избегать обнаружения и сохранять высокую эффективность. Загрузчик шеллкода имеет всего 1 КБ и делится на две функции:
- Извлечение полезной нагрузки с удаленного сервера;
- Создание процессов и ввод последующего шеллкода.
Проблемы безопасности и рекомендации
Несмотря на высокую скрытность действий UTG-Q-017, существует вероятность обнаружения с помощью усовершенствованных механизмов предотвращения угроз. Тем не менее, количество случаев обнаружения остается ограниченным. Жертвами кибератак чаще всего становятся предприятия и государственные структуры, особенно в Китае.
Учитывая текущие угрозы, эксперты призывают к принятию следующих мер безопасности:
- Усиление облачных проверок для выявления неизвестных угроз;
- Постоянное обновление и мониторинг безопасности в уязвимых средах.
В целом, группа UTG-Q-017 exemplifies современных хакеров, эффективно использующих уязвимости устаревших систем. Это подчеркивает необходимость постоянного обновления средств защиты и мониторинга угроз для обеспечения безопасности IT-инфраструктуры.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Неуловимый хакер UTG-Q-017: угроза для устаревших систем".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.