Pasak „Kaspersky“, nuo liepos pabaigos kibernetiniai šnipai, įtariami ryšiais su Kinija, užkrėtė „dešimtis“ kompiuterių, priklausančių Rusijos vyriausybinėms agentūroms ir IT paslaugų teikėjams, galinėmis durimis (angl. backdoor) ir Trojos arkliais.
Rusijoje įsikūrusi saugumo įmonė teigė, kad kenkėjiška programinė įranga, naudota per vykdomas tikslines atakas, pavadinta „EastWind“, yra susijusi su dviem su Kinija susijusiomis grupuotėmis APT27 ir APT31.
Kaip vyko kibernetiniai įsilaužimai
Gavę pirminę prieigą prie aukų įrenginių per apgaulingus el. laiškus, užpuolikai naudojosi įvairiomis debesijos paslaugomis ir svetainėmis, įskaitant „GitHub“, „Dropbox“, „Quora“, „LiveJournal“ ir „Yandex.Disk“, kad nukreiptų nuotolinio valdymo kenkėjišką programinę įrangą į užkrėstus kompiuterius atsisiųsti papildomus naudinguosius krovinius. Šios paslaugos buvo veiksmingai naudojamos kaip komandų ir kontrolės (C2) serveriai.
Šiais apgaulingais el. laiškais organizacijų el. pašto adresais buvo siunčiami RAR archyvų priedai, kuriuose buvo apgaulingi dokumentai ir teisėti bei kenkėjiški failai. Tarp jų yra kenkėjiškų bibliotekų, kurios, naudodamos DLL „sideloading“, paleidžia galines duris, kurios vėliau pradeda bendrauti su „Dropbox“.
Užmezgusi ryšį su debesų saugyklos paslauga, galinės durys gauna nurodymus iš savo šeimininkų, vykdo komandas, atlieka žvalgybą ir atsisiųsdina papildomų kenkėjiškų programų. Į kenkėjišką programinę įrangą įeina Trojos arklys – anksčiau siejamas su APT31 per 2021 ir 2023 m. kampaniją – kurį „Kaspersky“ pavadino „GrewApacha“.
Šioje konkrečioje „GrewApacha“ versijoje naudojamas tas pats įkroviklis, pastebėtas 2023 m., tačiau dabar naudojami du C2 serveriai. Ji taip pat naudoja „GitHub“ profilio biografiją, kad užmaskuotų C2 serverio adresą, kuris saugomas „Base64“ koduojamoje eilutėje.
Be Trojos arklio „GrewApacha“, užpuolikai taip pat atsisiuntė „CloudSorcerer“ galines duris. Apie šią kenkėjišką programą „Kaspersky“ anksčiau pranešė liepos mėn. ir pažymėjo, kad nuo to laiko užpuolikai ją modifikavo taip, kad kaip pradinius C2 serverius naudotų profilių puslapius rusų kalba veikiančiame socialiniame tinkle „LiveJournal“ ir klausimų/atsakymų svetainėje „Quora“.
Nukentėjo ne tik Rusijos organizacijos
Pasak „Proofpoint“, „CloudSorcerer“, nors šioje konkrečioje kampanijoje buvo naudojamas prieš Rusijos organizacijas, taip pat buvo pastebėtas gegužės pabaigoje vykdant ataką prieš JAV įsikūrusią organizaciją.
Analizuodami atnaujintus „CloudSorcerer“ pavyzdžius, grėsmių medžiotojai nustatė, kad nusikaltėliai šias galines duris naudoja anksčiau nežinomam failui, kurį pavadino „PlugY“, atsisiųsti.
Šis failas jungiasi prie C2 serverio per TCP, UDP ir gali apdoroti „gana platų“ komandų rinkinį. Tai apima manipuliavimą failais, apvalkalo komandų vykdymą, klavišų paspaudimų registravimą, ekranų stebėjimą ir šniukštinėjimą po laikmenas.
„Failo analizė tebevyksta, tačiau galime daryti labai patikimą išvadą, kad jam sukurti buvo panaudotas DRBControl (dar žinomo kaip Clambling) galinių durų kodas“, – šią savaitę rašė ‚Kaspersky‘ tyrėjai.
DRBControl galinės durys buvo susijusios su APT27. O „Kaspersky“ pastebėjo, kad faktas, jog „EastWind“ kampanijoje buvo naudojama kenkėjiška programinė įranga, panaši į APT27 ir APT29 naudotus pavyzdžius, „aiškiai rodo“, kad nacionalinės valstybės remiamos komandos „labai dažnai susivienija, aktyviai dalijasi žiniomis ir įrankiais“.