Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

GoldenEye Dog (APT‑Q‑27): атаки через AWS S3 и скрытый шелл‑код

4
3 мин
Кратко: По результатам последнего анализа, группировка GoldenEye Dog (APT-Q-27) провела серию атак, в которых использовала хранилища Amazon Web Services (AWS) S3 для доставки вредоносных компонентов. Исследование показывает продуманную методологию развёртывания, ориентированную на обход средств обнаружения и устойчивое закрепление в системах жертв. Атаки стартовали с загрузки полезных нагрузок из публичных и/или приватных бакетов AWS S3. При запуске вредоносное ПО последовательно проверяет окружение жертвы, в частности записи реестра, на предмет признаков виртуализации. Это позволяет злоумышленникам отсеивать виртуальные машины и избегать анализа в исследовательских средах. «Вредоносное ПО специально проверяет наличие имен виртуальных машин, таких как «vmware», «virtual», «vbox», «qemu» и «xen».» Ключевые элементы методики: В образец вредоносного ПО встроены зашифрованные адреса управления (C&C), которые выбираются динамически в зависимости от сетевых условий и стратегий для предотвращ
Оглавление

Кратко: По результатам последнего анализа, группировка GoldenEye Dog (APT-Q-27) провела серию атак, в которых использовала хранилища Amazon Web Services (AWS) S3 для доставки вредоносных компонентов. Исследование показывает продуманную методологию развёртывания, ориентированную на обход средств обнаружения и устойчивое закрепление в системах жертв.

Суть атаки

Атаки стартовали с загрузки полезных нагрузок из публичных и/или приватных бакетов AWS S3. При запуске вредоносное ПО последовательно проверяет окружение жертвы, в частности записи реестра, на предмет признаков виртуализации. Это позволяет злоумышленникам отсеивать виртуальные машины и избегать анализа в исследовательских средах.

«Вредоносное ПО специально проверяет наличие имен виртуальных машин, таких как «vmware», «virtual», «vbox», «qemu» и «xen».»

Техника уклонения и запуск полезной нагрузки

Ключевые элементы методики:

  • Комплексная проверка окружения — в первую очередь запись реестра на признаки виртуализации.
  • Обманный контейнер в виде зашифрованного файла DataReport.log, который фактически служит шеллкодом.
  • Освобождение и загрузка переносимого исполняемого файла (PE) напрямую в память, что позволяет обходить дисковое сканирование и многие традиционные антивирусные механизмы.

Инфраструктура управления и масштабируемость

В образец вредоносного ПО встроены зашифрованные адреса управления (C&C), которые выбираются динамически в зависимости от сетевых условий и стратегий для предотвращения обнаружения. Такая архитектура повышает выживаемость кампании и затрудняет блокировку инфраструктуры злоумышленников.

Возможности и команды удалённого управления

Анализ показывает широкий набор функций, реализованных в вредоносном ПО, что даёт операторам практически полный контроль над инфицированными машинами:

  • Управление файлами (загрузка, исполнение, удаление).
  • Завершение процессов, в том числе критичных для обнаружения (например, explorer.exe и cmd.exe).
  • Очищение следов атаки — удаление данных браузеров на платформах Internet Explorer, Chrome и Firefox.
  • Модификации реестра и включение подключаемых модулей для расширения функциональности и закрепления.

Стратегические выводы

Общий портрет кампании указывает на высокий уровень квалификации и намеренное использование продвинутых техник:

  • Избирательная проверка виртуализации — попытка затруднить анализ и автоматическое выявление атак.
  • Исполнение PE в памяти — современная тактика для обхода традиционных средств защиты.
  • Динамическая сеть C&C и модульная архитектура повышают устойчивость и масштабируемость операций.

Последствия и рекомендации

Деятельность APT-Q-27 демонстрирует рост изощрённости APT-кампаний и указывает на потенциальную эскалацию в будущем. Для снижения рисков организациям рекомендуется:

  • Проверять доступность и конфигурацию бакетов AWS S3 — избегать публичного доступа без необходимости и отслеживать подозрительную активность.
  • Использовать EDR-решения, способные детектировать исполнения кодов в памяти и аномалии в работе процессов.
  • Аудит реестра и средств виртуализации для выявления попыток маскировки и индикации компрометации.
  • Резервное копирование критичных данных и план реагирования на инциденты с учётом удаления браузерных следов и модификаций реестра.

Заключение

GoldenEye Dog (APT-Q-27) продемонстрировала хорошо организованную кампанию с применением современных техник доставки и уклонения от обнаружения. Инфраструктура на базе AWS S3, динамические C&C и исполнение PE в памяти делают эту угрозу серьёзной для организаций, особенно при недостаточной защите облачных хранилищ и отсутствующей телеметрии исполнения в памяти. Наблюдаемое поведение указывает на вероятность дальнейшего развития возможностей и расширения операций группировки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "GoldenEye Dog (APT‑Q‑27): атаки через AWS S3 и скрытый шелл‑код".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются