Группа APT Mahaca и связанные угрозы: новые данные о кибершпионаже в Южной Азии
С конца 2009 года группа Mahaca, также известная под прозвищами «Лоскутное одеяло» и «Падающий слон», ведёт активную деятельность в сфере кибершпионажа, сфокусировавшись преимущественно на странах Южной Азии. Её атаки нацелены на правительственные, военные и промышленные объекты с целью кражи конфиденциальной информации. Недавние исследования Центра анализа угроз Qi’anxin дают новое понимание операционной деятельности Mahaca и связанных с ней групп, выявляя их методы и связи.
Группы APT: Mahaca и Belly Worm (Donot)
Помимо Mahaca, в регионе ведёт активность группа Belly Worm, также известная как Donot. Она специализируется на атаках против правительственных и коммерческих структур таких стран, как Пакистан и Бангладеш. Анализ последних инцидентов выявил вредоносную деятельность группы под названием Belly Brain, связанной с доменом couldmailauth.com, который используется как командно-контрольный сервер (C&C).
Новые технические детали: загрузчик Spyder
В центре внимания отчёта оказался новый образец загрузчика Spyder, принадлежащий к инфраструктуре Mahaca. Он обладает следующими характеристиками:
- Использует цифровую подпись, совпадающую с которой была найдена ранее у Belly Worm, что указывает на возможное сотрудничество этих групп.
- Восстанавливает данные конфигурации с помощью XOR-дешифрования.
- Использует нестандартное поле в заголовке POST-запроса для связи с C&C сервером.
- При обмене данными применяется JSON-строка, содержащая фиксированные идентификаторы, включая машинный GUID заражённого устройства и версию ПО.
- Запросы позволяют определить необходимость сбора дополнительной информации и инициировать поиск других вредоносных компонентов.
- Вся коммуникация маскируется, чтобы запутать механизмы обнаружения и анализа трафика.
Несмотря на сохранение базового функционала загрузчика Spyder, в новую версию были внедрены улучшения, такие как XOR-шифрование конфиденциальных строк, что значительно усложняет обнаружение вредоносного ПО.
Взаимосвязь групп и инфраструктур
Кроме Mahaca, сообщается и о связанной с ней деятельности группы thorny, чьи вредоносные сигнатуры и инфраструктура демонстрируют общие черты с Mahaca. Это позволяет предположить наличие сотрудничества или распределение ресурсов между этими организациями APT.
Рекомендации по защите и повышению безопасности
Центр анализа угроз Qi’anxin рекомендует:
- Повышать уровень бдительности в отношении фишинговых атак.
- Избегать перехода по ссылкам из неизвестных источников.
- Не открывать подозрительные вложения и не запускать сомнительные приложения.
- Поддерживать актуальные резервные копии данных.
- Регулярно обновлять средства защиты и системы безопасности.
- Проводить тщательный анализ файлов перед их запуском с помощью специализированных платформ анализа.
Такие меры остаются ключевыми в борьбе с угрозами, исходящими от сложных групп APT, действующих в Южной Азии и за её пределами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Связь групп APT Mahaca и Belly Worm: новые угрозы Южной Азии".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.