Специалисты центра реагирования на инциденты компании Positive Technologies обнаружили в апреле 2021 года рассылку с неизвестным ранее вредоносным содержимым, которая была направлена против монгольских ресурсов. Детальный анализ вредоносного ПО [1] позволил соотнести этот вредонос с активностью группы APT31, которая также получила наименование Judgment Panda (CrowdStrike) и Zirconium (Microsoft). Впоследствии аналогичные атаки были выявлены в России, Республике Беларусь, Канаде и США. По данным аналитиков PT Expert Security Center, в общей сложности с января по июль 2021 года было проведено около десятка атак, где использовались найденные образцы ВПО.
APT31
Группировка APT31 предположительно, имеет китайское происхождение и предоставляет данные китайскому правительству и государственным предприятиям для достижения политических, экономических и военных преимуществ. Ключевой интерес — кибершпионаж. Среди целей злоумышленников — правительственный сектор, аэрокосмические и оборонные предприятия, а также международные финансовые компании и сектор высоких технологий. Жертвами группировки в разные годы становились правительство Финляндии, а также, предположительно, правительства Норвегии и Германии. Кроме того, группа атаковала организации и лица, близкие к кандидатам в президенты США во время предвыборной кампании 2020-го. Недавние атаки на компании во Франции, связанные со взломом домашних и офисных маршрутизаторов, также связывают с активностью этой группировки.
В ходе расследования специалистами Positive Technologies был найден отчет компании Secureworks, в котором описан троян DropboxAES RAT группы APT31. Анализ обнаруженных экземпляров вредоноса позволяет утверждать, что за обнаруженной атакой тоже стоит эта группировка: были найдены многочисленные пересечения по функционалу, используемым техникам и механизмам — начиная с внедрения вредоносного кода (вплоть до имен используемых библиотек) и заканчивая используемыми внутри программного кода логическими блоками и структурами. Идентичными также являются пути, по которым располагаются рабочие директории вредоноса, и ключи реестра. Помимо этого, в высокой степени схожими оказались обработчики команд, исполняемые обнаруженным вредоносом, а, кроме того, идентичным оказался и механизм самоудаления. Главное отличие данной версии вредоносного ПО от рассмотренного Secureworks заключается в коммуникации основной нагрузки с управляющим сервером. В изучаемых образцах вредоноса в качестве контрольного сервера не использовался Dropbox.
В отчете, который подготовили эксперты PT Expert Security Center Денис Кувшинов и Даниил Колосков [1] говориться также следующее: «В одном из последних образцов вредоносного ПО был выявлен интересный домен inst.rsnet-devel[.]com, имитирующий домен федеральных органов государственной власти и органов государственной власти субъектов РФ для сегмента сети Интернет, что может говорить об атаке на правительственные организации в России».
Признаки компрометации
В своем отчете эксперты подробно разбирают тактики и техники, которые использует новый вредонос для распространения, работы и скрытия своей активности. Подробно перечислены признаки компрометации системы вредоносом: хэши файлов, доменные имена, сетевые сигнатуры и даже раскладка методов атаки по матрице цикла жизни вредоноса в нотации MITRE. Поскольку деятельность вредоноса обнаружена и на территории России, то рекомендуется использовать опубликованные признаки компрометации для проверки и выявления присутствия данного вредоносного ПО в корпоративной инфраструктуре. Когда российская промышленной начала восстанавливаться, то, естественно, к ней проявили интерес и кибергруппировки промышленных шпионов.
[1] https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/apt31-new-attacks/
