Организация Wantshu, также известная как APT-Q-14, продолжает усиливать свои возможности в области кибершпионажа, демонстрируя высокий уровень технической подготовки и тесные связи с группами APT-Q-12 и APT-Q-15, входящими в структуру DarkHotel. Недавний отчет раскрывает новые методы атак, направленные на пользователей в Северо-Восточной Азии, и показывает, как злоумышленники совершенствуют свои инструменты для повышения эффективности фишинга.
История и тактика WannaQ-14
Исторически группа APT-Q-14 использовала технологию CilckOnce для проведения фишинговых кампаний, преимущественно нацеленных на китайских пользователей. Несмотря на инновационный подход, эффективность таких атак была ограничена ввиду необходимости активного взаимодействия с пользователем.
Чтобы повысить успешность, организация применила уязвимость нулевого дня XSS (межсайтовый скриптинг) в популярной платформе электронной почты. Эта уязвимость позволяет автоматизировать запуск скрипта CilckOnce сразу после получения фишингового письма.
Механика атаки: от фишинг-письма к внедрению вредоносного кода
- Получателю приходит письмо, замаскированное под уведомление об обновлении от Yahoo Current Affairs News. Это повышает доверие и вероятность открытия письма.
- После открытия инициируется запуск вредоносного трояна с именем csrss32.exe.
- Троян создает процесс svchost.exe, в который внедряется шеллкод.
- Вторая стадия шеллкода расшифровывается непосредственно в памяти и функционирует как динамическая библиотека (DLL).
- Загрузившись, DLL выполняет поиск процесса explorer.exe, предпринимая попытки повышения привилегий и внедрения в этот процесс для скрытной работы.
Однако при анализе вредоносной активности исследователям мешают отсутствующие данные с серверов управления и контроля (C2) уже после начальной фазы внедрения.
Многофункциональность и региональный интерес
APT-Q-14 ориентируется на пользователей различных платформ Windows, что подтверждает масштабность и серьезность угрозы. Особое внимание группы привлечено разведывательными службами Северо-Восточной Азии, что говорит о геополитической подоплеке их деятельности.
Показатели экспертизы Wantshu впечатляют — организация обладает глубокими знаниями внутренних, зачастую нераскрытых интерфейсов отечественного программного обеспечения, что позволяет использовать уникальные векторы атаки.
Уязвимости в Android и планы на будущее
Кроме атак на Windows, группа эксплуатирует уязвимости в почтовых приложениях для Android. Во многих случаях эти бреши связаны с широко известной проблемой «ZipperDown», которая позволяет обходить защиту путей и перезаписывать критически важные файлы, включая файлы формата dex.
Представители Wantshu заявили о намерении в ближайшем будущем раскрыть сообществу разработчиков open source дополнительные технические детали по этим уязвимостям, что может способствовать улучшению общей безопасности мобильных приложений.
Заключение
Деятельность APT-Q-14 (Wantshu) иллюстрирует растущую сложность современных кибератак, сочетающих фишинг, использование уязвимостей нулевого дня и целенаправленное внедрение вредоносного кода. Для обеспечения безопасности рекомендуется повышать осведомленность пользователей о новых угрозах и регулярно обновлять программное обеспечение с учетом официальных патчей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "APT-Q-14: новые методы фишинга и эксплуатация уязвимостей почты".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.