Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

APT-Q-27: методы и угрозы кибератак в Юго-Восточной Азии

1
3 мин
The Golden Eye Dog gang, также известная как APT-Q-27, представляет собой активную и хорошо подготовленную киберпреступную группировку, специализирующуюся на атаках в сфере азартных игр и продвижения собак. Основная география их деятельности — страны Юго-Восточной Азии и зарубежные китайские общины. Их методы поражают сложностью и уровнем скрытности, что делает эту группу одной из самых опасных сегодня. Golden Eye Dog оперирует в основном через распространение вредоносного программного обеспечения, маскирующегося под легитимные утилиты, такие как ToDesk и Kuailian VPN. Главным каналом внедрения служат атаки типа water hole — заражение сайтов, часто посещаемых целевой аудиторией. Это позволяет добыть доверие пользователей и незаметно установить вредоносное ПО. Вредоносный файл build.exe, составленный на C++ и превышающий 30 МБ, запускается параллельно с ToDesk. Он устанавливает сетевое соединение с сервером управления (C2) — 120.89.71.226 и пользуется мощными возможностями PowerShell и
Оглавление

The Golden Eye Dog gang, также известная как APT-Q-27, представляет собой активную и хорошо подготовленную киберпреступную группировку, специализирующуюся на атаках в сфере азартных игр и продвижения собак. Основная география их деятельности — страны Юго-Восточной Азии и зарубежные китайские общины. Их методы поражают сложностью и уровнем скрытности, что делает эту группу одной из самых опасных сегодня.

Методы атаки и используемое вредоносное ПО

Golden Eye Dog оперирует в основном через распространение вредоносного программного обеспечения, маскирующегося под легитимные утилиты, такие как ToDesk и Kuailian VPN. Главным каналом внедрения служат атаки типа water hole — заражение сайтов, часто посещаемых целевой аудиторией. Это позволяет добыть доверие пользователей и незаметно установить вредоносное ПО.

  • Группа размещает вредоносные установочные пакеты на веб-сайтах, оптимизированных под поисковые системы (SEO).
  • Пользователь скачивает поддельный установщик ToDesk, который одновременно устанавливает и подлинное ПО, и вредоносный троян Winos 4.0.
  • Пакет вредоносного ПО написан с использованием нескольких языков программирования — .NET, C++, Go и Delphi, что существенно увеличивает сложность анализа и обнаружения.

Технические особенности вредоносных компонентов

Вредоносный файл build.exe, составленный на C++ и превышающий 30 МБ, запускается параллельно с ToDesk. Он устанавливает сетевое соединение с сервером управления (C2) — 120.89.71.226 и пользуется мощными возможностями PowerShell и командной строки для запуска дальнейших вредоносных команд.

Высокотехнологичные возможности программы включают:

  • Создание подпроцессов с именами, имитирующими системные (svchost.exe).
  • Использование множества вредоносных портов для маскировки сетевой активности.
  • Скрытие вредоносного кода в нормативных структурах кода с помощью файла instect.exe, усложняющего статический анализ.
  • Реализацию сложных функций, препятствующих обнаружению и удалению вредоносного ПО.
  • Создание уникальных идентификаторов мьютекса для сохранения постоянства (persistence) в системе жертвы.

Trojan «Silver Fox» и дополнительные опасности

Отдельно стоит выделить троянскую программу Silver Fox, которую Golden Eye Dog внедряет для скрытой кражи данных. В этом ПО используются:

  • Бэкдоры, основанные на шелл-коде.
  • Сложные средства противодействия обнаружению (anti-detection techniques).

В совокупности всё это позволяет преступникам оперативно и скрытно управлять заражёнными системами.

Цель и стратегия группировки

Основная тактика Golden Eye Dog заключается в создании поддельных страниц загрузки, максимально оптимизированных для поисковых систем. Это ведёт к высокому уровню доверия и большому числу загрузок вредоносных установщиков легитимных программ.

Области вредоносной активности включают:

  • Удалённое управление заражёнными системами (remote control).
  • Добычу криптовалют.
  • DDoS-атаки.
  • Манипуляции с трафиком и кражу данных.

Рекомендации по защите пользователей

Эксперты рекомендуют проявлять настороженность и следовать базовым правилам кибербезопасности:

  • Не скачивайте файлы из сомнительных или неизвестных источников.
  • Избегайте перехода по подозрительным ссылкам и проявляйте осторожность при получении вложений и сообщений от неизвестных отправителей.
  • Регулярно обновляйте операционные системы и установленное программное обеспечение.
  • Периодически создавайте резервные копии важных данных.
  • Будьте внимательны к признакам фишинговых атак и социальной инженерии.

Golden Eye Dog gang — это пример того, как продвинутые киберпреступники способны адаптироваться и использовать разнообразные технологии для достижения своих целей. Только с постоянной бдительностью и ответственным подходом к информационной безопасности можно минимизировать риски, связанные с подобными угрозами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "APT-Q-27: методы и угрозы кибератак в Юго-Восточной Азии".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются