Хакер #305. Многошаговые SQL-инъекции
Хотя первый отчет о деятельности кибершпионский группы Tick, которая также известна под названиями Bronze Butler и REDBALDKNIGHT, был опубликован лишь в прошлом году, специалисты Trend Micro считают, что группировка может существовать уже более десяти лет.
Аналитики Trend Micro подготовили исследование, в котором подробно рассмотрели инструменты предположительно китайской группировки и используемые хакерами техники. Наиболее часто встречающимися инструментами хакеров были названы загрузчик Gofarer и троян Daserf, который способен выполнять shell-команды, а также загружать и скачивать данные.
Хотя раньше атаки Tick в основном были направлены против японских правительственных учреждений и организаций, занимающихся биотехнологиями, производством электроники и индустриальной химией, теперь исследователи обнаружили, что троян Daserf также использовался во время атак на различные организации в России, Китае, Сингапуре и Южной Корее.
Своих вредоносов группировка Tick распространяет по одной из классических схем, то есть преимущественно через направленные фишинговые атаки, внедряя малврарь в документы, приложенные к фальшивым письмам. Также порой Daserf загружает дополнительные бэкдоры с различных скомпрометированных сайтов. То есть уже после установки троян соединяется со скомпрометированным ресурсом, откуда скачивает вредоносное изображение, после чего ожидает дальнейших команд от управляющего сервера.
Исследователи пишут, что им удалось обнаружить несколько разных версий малвари Daserf, в том числе и варианты, которые используют стеганографию для улучшения маскировки, а также связи с управляющими серверами. Стеганография не только помогает злоумышленникам обманывать файрволы и другие защитные решения, но также позволяет поддерживать более быструю и надежную связь с C&C-серверами.
Кроме того, группа использует стеганографию в таких тулкитах, как xxmm2_builder и xxmm2_steganography, которые являются компонентами малвари XXMM, нередко используемой злоумышленниками как бэкдор во время первой стадии заражения. Эксперты Trend Micro убеждены, что стеганографические алгоритмы в XXMM и Daserf практически идентичны.