Осенью 2020 года за помощью к специалистам «Доктор Веб» обратился неназванный российский научно-исследовательский институт. Сотрудники НИИ обратили внимание на ряд технических проблем, которые могли свидетельствовать о присутствии малвари на одном из серверов в локальной сети.

В ходе расследования эксперты компании установили, что на НИИ была осуществлена целевая атака с использованием специализированных бэкдоров. Хуже того, изучение деталей инцидента показало, что сеть предприятия была скомпрометирована давно и, судя по всему, не одной APT-группой.

Атаки на НИИ

Исследователи пишут, что первая хакерская группа скомпрометировала внутреннюю сеть института еще осенью 2017 года. Первичное заражение осуществлялось с помощью BackDoor.Farfli.130 — модификации бэкдора, также известного как Gh0st RAT. Позднее, весной 2019 года в сети НИИ был установлен Trojan.Mirage.12, а в июне 2020 — BackDoor.Siggen2.3268.

Вторая хакерская группа скомпрометировала сеть института не позднее апреля 2019, и в этот раз заражение началось с установки бэкдора BackDoor.Skeye.1. К тому же исследователи выяснили, что примерно в то же время — в мае 2019 года — Skeye был внедрен в сеть другого российского НИИ.

В июне 2019 года компания FireEye опубликовала отчет о целевой атаке на государственный сектор ряда стран центральной Азии с использованием того же бэкдора. Позднее, в период с августа по сентябрь 2020 года вирусные аналитики «Доктор Веб» зафиксировали установку различных троянов этой группой в сети предприятия, включая ранее не встречавшийся DNS-бэкдор BackDoor.DNSep.1, а также хорошо известный BackDoor.PlugX.

Более того, в декабре 2017 года на серверы обратившегося к экспертам НИИ был установлен BackDoor.RemShell.24. Представители этого семейства малвари ранее были описаны специалистами Positive Technologies в исследовании Operation Taskmasters. Аналитики пишут, что  располагают данными, которые позволили бы однозначно определить, какая из двух APT-групп использовала этот бэкдор.

Атрибуция

Деятельность первой APT-группы не позволила экспертам однозначно идентифицировать ее как одну из ранее описанных хакерских группировок. При этом анализ используемых вредоносных программ и инфраструктуры показал, что эта группировка активна как минимум с 2015 года.

Второй APT-группой, атаковавшей НИИ, по мнению  «Доктор Веб», была TA428, ранее описанная исследователями компании Proofpoint в материале Operation Lag Time IT. В пользу этого вывода приводятся следующие факты:

  • в коде бэкдоров DNSepи BackDoor.Cotx имеются явные пересечения и заимствования, и автор бэкдора DNSep явно имел доступ к исходным кодам Cotx;
  • Skeye.1и Trojan.Loader.661 использовались в рамках одной атаки, при этом последний является известным инструментом TA428;
  • бэкдоры, проанализированные в рамках атак, имеют пересечения в адресах управляющих серверов и сетевой инфраструктуре с бэкдорами, используемыми группировкой TA428.

На иллюстрациях ниже приведена часть задействованной в атаке инфраструктуры с пересечениями бэкдоров Skeye и другим известным APT-бэкдором — PoisonIvy, а также изображены пересечения в инфраструктуре бэкдоров Skeye и Cotx.

Индикаторы компрометации доступны на GitHub компании, тогда как сравнительный анализ кода обнаруженных бэкдоров и технические описания малвари можно найти по ссылкам приведенным выше.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии