В недавнем анализе эксперты по кибербезопасности подробно рассмотрели инструменты и методы азиатской APT-группы Obstinate Mogwai. В центре внимания оказались два ключевых бэкдора — Donnect и DimanoRAT, а также веб-оболочка AntSpy. Эти компоненты демонстрируют высокий уровень технической изощрённости и уникальные подходы к реализации атак, что требует пристального внимания специалистов по информационной безопасности.
Веб-оболочка AntSpy: наследие и инновации
AntSpy основывается на более ранних веб-shell решениях, таких как Antak и ASPXSpy, но отличительной чертой стала интеграция трехуровневой системы аутентификации. Она включает:
- хэш MD5, сгенерированный на основе текущей даты;
- нажатие невидимой кнопки на интерфейсе;
- пароль, комбинируемый со случайной солью.
Такой подход значительно повышает сложность несанкционированного доступа. Однако операторы столкнулись с ошибками в контроле целостности из-за неправильной настройки серверов Exchange, что привело к утечке истории команд — серьёзному пробою в их инфраструктуре.
Donnect: бэкдор с маскировкой устаревших служб
Появившийся в апреле 2022 года бэкдор Donnect функционирует за счёт получения зашифрованных команд с C2-сервера. Его особенности включают:
- создание службы, работающей внутри svchost.exe;
- имитацию устаревших служб Windows, которые сейчас не используются, что снижает подозрительность;
- спящий режим в периоды бездействия;
- использование таблиц TCP-соединений для поиска прокси-серверов при неудаче прямого подключения к C2.
Стоит отметить интересную деталь — в коммуникационной части обнаружена опечатка в слове «ПОДКЛЮЧИТЬСЯ», которая унаследована от схожих вредоносных программ, что может служить маркером происхождения кода.
DimanoRAT: многофункциональный инструмент с зашифрованной конфигурацией
В марте 2023 года появился новый бэкдор DimanoRAT, предлагающий 24 операционные команды. Его ключевые характеристики:
- шифрование конфигурации с помощью алгоритма RC4;
- использование реестра служб Windows для хранения параметров;
- установка соединений как напрямую, так и через прокси, данные о которых также хранятся в реестре.
Распространение и маскировка: особенности атак на серверы Exchange
Во время атак веб-оболочка AntSpy регулярно обнаруживается в каталогах серверов Exchange. Это указывает на использование многоуровневых кодовых решений, которые маскируют вредоносные элементы под легитимные функции. Причем обширный и запутанный код веб-оболочки свидетельствует о намеренной попытке скрыть злонамеренную активность.
Общая картина и географические особенности
Анализ показывает, что оба бэкдора — Donnect и DimanoRAT — участвуют в широкой операционной кампании Obstinate Mogwai, характеризующейся:
- специфическими методами ведения атак;
- широким совместным использованием кода;
- трудностями в установлении точного авторства из-за взаимосвязей внутри киберпреступного сообщества.
Особенный интерес вызывает ориентированность вредоносного ПО на российские организации. Это позволяет предположить, что операционные приоритеты и тактики APT-группы варьируются в зависимости от географической направленности атак. Такая динамика подчеркивает важность постоянного мониторинга локальных хакерских ландшафтов для своевременного обнаружения угроз.
Выводы
Сложное сочетание методов и инструментов, используемых Obstinate Mogwai, иллюстрирует взаимосвязанную и высокотехнологичную природу современных APT-групп. Их изощрённость и адаптивность требуют от специалистов по кибербезопасности постоянного улучшения процессов анализа и защиты, а также глубокого изучения локальных особенностей «игрового поля» в разных регионах мира.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Технологии и тактики APT-группы Obstinate Mogwai: глубокий анализ".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.