Шёпот тумана: двуликая группировка UNG0002 атакует проверенными техниками
Исследователи в области кибербезопасности обнаружили новую масштабную кампанию кибершпионажа, за которой стоит южноазиатская хакерская группировка UNG0002 («Unknown Group 0002»), которая провела две успешных кампании «Кобальтовый шёпот» и «Янтарный туман» в течение последнего года. Эксперт в области кибербезопасности, инженер-аналитик компании «Газинформсервис» Ирина Дмитриева объяснила, как организациям не допустить кражу данных и шпионаж в случае подобных атак.
UNG0002 отдает предпочтение сложным, многоступенчатым методам заражения и нацелены на оборонную и аэрокосмическую промышленность, энергетику, разработку ПО, игровую индустрию, а также научные и медицинские учреждения и организации, предоставляющие услуги по кибербезопасности Азии. На сей раз злоумышленники используют документы-приманки на тему резюме, предназначенные для того, чтобы выдавать себя за разработчиков игр или студентов элитных университетов. Эти документы запускают вредоносное ПО, которое имплантирует один из нескольких специально созданных RAT.
«Одним из излюбленных подходов в ходе операции "Кобальтовый шёпот" злоумышленников предполагает использование тривиальной цепочки, включающей фишинговые ZIP-архивы. Через архивы группировка доставляет на конечное устройство фреймворк постэксплуатации Cobalt Strike, использующего LNK и Visual Basic Scripts в качестве промежуточных полезных нагрузок, — объяснила Ирина Дмитриева. — В ходе атак операции "Янтарный туман» рассылались LNK-файлы под видом резюме. Запуск зараженного файла приводил к запуску многоэтапной цепочки заражения, кульминацией которого становились импланты INET RAT и загрузчик Blister DLL, открывающий путь для реверс-шелла. Узконаправленной стала схема, в ходе которой жертвы попадали на фишинговые сайты Пакистанского Морского ведомства, где поддельная CAPTCHA-проверка по тактике ClickFix скрывает запуск PowerShell-команд для развёртывания Shadow RAT».
Группировка проводит точные и аккуратные операции, которые отражают высокий уровень адаптивности APT-угроз, использующих по-прежнему актуальную социальную инженерию и многослойное исполнение кода для достижения скрытного и глубокого проникновения в таргет-системы.
«Стоит отметить, что подобные атаки разного уровня профессиональной подготовки хакеров происходят ежедневно. Сложно предугадать, в какой момент злоумышленник попадет точно в цель, за которой будет скрываться крупная инфраструктура организации. Но специалисты центра мониторинга и реагирования GSOC компании "Газинформсервис" обладают всеми необходимыми компетенциями для анализа самых сложных угроз и предотвращения реализации рисков на ранних этапах атак. Аналитики GSOC раскрывают многоэтапные заражения, вычисляют скрытые RAT-ы (вроде Shadow или INET) и нейтрализуют угрозы до того, как они успеют проникнуть в сеть и начать распространяться по ней», — подчеркнула эксперт.
Ответственность за содержание материала несет автор публикации. Точка зрения автора может не совпадать с позицией редакции.