В октябре 2021 года в «Доктор Веб» обратилась одна из казахстанских телекоммуникационных компаний с подозрением на наличие вредоносного ПО в корпоративной сети. При первичном осмотре были обнаружены бэкдоры, ранее использовавшиеся лишь в целевых атаках. В ходе расследования удалось установить, что компрометация внутренних серверов компании началась еще в 2019 году. На протяжении нескольких лет основными инструментами злоумышленников были Backdoor.PlugX.93 и BackDoor.Whitebird.30, утилиты Fast Reverse Proxy (FRP), а также RemCom.
Благодаря ошибке хакеров мы получили уникальную возможность изучить списки жертв, а также узнали, какие инструменты управления бэкдорами были использованы. Исходя из добытой информации можно сделать вывод о том, что хакерская группировка специализировалась на компрометации почтовых серверов азиатских компаний с установленным ПО Microsoft Exchange. Однако есть жертвы и из других стран, среди которых:
государственное учреждение Египта;
аэропорт в Италии;
маркетинговая компания из США;
транспортная и деревообрабатывающая компании из Канады.
В логи, собранные вместе с управляющим сервером, попали жертвы, зараженные с августа 2021 до начала ноября того же года. При этом в некоторых случаях BackDoor.Whitebird.30 был установлен не только на сервер с Microsoft Exchange, но и на контроллеры домена.
На основе использованных инструментов, методов и инфраструктуры мы делаем вывод, что за атакой стоит хакерская группировка Calypso APT.
Remote Rover
Управляющий сервер для BackDoor.Whitebird.30 называется Remote Rover. Он позволяет удаленно запускать приложения, обновлять конфигурацию бэкдора, а также скачивать и загружать файлы. Помимо этого, с помощью Remote Rover можно использовать командную оболочку. Так выглядит интерфейс управляющего сервера:
К Remote Rover прилагался конфигурационный файл CFG\default.ini, имеющий следующее содержание:
E:\\\2021\RR\\telecom.cfg
OneClock.exe
Если перевести содержание с китайского языка на английский, то можно получить такой путь:
E:\personal use\Independent research and development remote\2021\RR\Configuration backup\telecom.cfg
Подробные технические описания обнаруженных вредоносных программ находятся в PDF-версии исследования и в вирусной библиотеке Dr.Web.
В ходе расследования целевой атаки вирусные аналитики «Доктор Веб» нашли и описали несколько бэкдоров и троянов. Стоит отметить, что злоумышленникам удавалось оставаться незамеченными так же долго, как это было и при других инцидентах, связанных с целевыми атаками. Хакерская группировка скомпрометировала сеть телекоммуникационной компании более двух лет назад.
Специалисты компании «Доктор Веб» рекомендуют регулярно проверять работоспособность сетевых ресурсов и своевременно фиксировать сбои, которые могут свидетельствовать о наличии в сети вредоносного ПО. Основная опасность целевых атак заключается не только в компрометации данных, но и в длительном присутствии злоумышленников. Подобный сценарий позволяет им долгие годы контролировать работу организации, чтобы в нужный момент получить доступ к особенно чувствительной информации. При подозрении на вредоносную активность в сети мы рекомендуем обращаться в вирусную лабораторию «Доктор Веб», которая оказывает услуги по расследованию вирусозависимых компьютерных инцидентов. Выявить вредоносное ПО на серверах и рабочих станциях поможет Dr.Web FixIt! Оперативное принятие адекватных мер позволит минимизировать ущерб, а также предотвратить тяжелые последствия целевых атак.
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web