ΑρχικήsecurityΟι APT10 hackers επιστρέφουν με νέα loaders και νέες εκδόσεις payloads

Οι APT10 hackers επιστρέφουν με νέα loaders και νέες εκδόσεις payloads

APT10 Η κινεζική ομάδα hackers, γνωστή με το όνομα APT10, χρησιμοποιεί δύο νέα malware loaders και νέες εκδόσεις γνωστών payloads, για την πραγματοποίηση επιθέσεων σε κυβερνητικούς και ιδιωτικούς οργανισμούς στη Νοτιοανατολική Ασία.

Η ομάδα APT10 εμφανίστηκε το 2009. Έκτοτε, έχει πραγματοποιήσει διάφορες επιθέσεις. Τον Απρίλιο του 2017, κάποιοι ειδικοί ασφαλείας αποκάλυψαν μια μεγάλη hacking εκστρατεία, γνωστή με το όνομα, Operation Cloud Hopper. Η εκστρατεία στόχευσε πολλές υπηρεσίες και εταιρείες σε όλο τον κόσμο.

Τον Ιούλιο του 2018, η FireEye εντόπισε νέες επιθέσεις της ομάδας APT10, κατά τις οποίες οι hackers έστελναν phishing emails σε υπαλλήλους εταιρειών, τα οποία περιείχαν πειραγμένα αρχεία Word, με σκοπό την εγκατάσταση UPPERCUT backdoor στα συστήματα των θυμάτων.

Τον Σεπτέμβριο του 2018, οι APT10 hackers οργάνωσαν μια εκστρατεία, που είχε στόχο τα ιαπωνικά μέσα ενημέρωσης. Όμως, οι ερευνητές από την FireEye κατάφεραν να την ανακαλύψουν και να την μπλοκάρουν.

Οι πρόσφατες επιθέσεις της ομάδας APT10 έλαβαν χώρα τον Απρίλιο του 2019 και εντοπίστηκαν από τους ερευνητές της enSilo. Οι ερευνητές διαπίστωσαν ότι οι hackers χρησιμοποίησαν τροποποιημένες εκδόσεις γνωστού κακόβουλου λογισμικού.

Οι ειδικοί συνέδεσαν τις επιθέσεις του Απριλίου με την κινεζική ομάδα κατασκοπείας, καθώς οι δύο παραλλαγές των loaders και τα payloads, που αναλύθηκαν, χρησιμοποιούν παρόμοιες Τακτικές, Τεχνικές, Διαδικασίες (TTPs). Επίσης, χρησιμοποιούν κώδικα, που σχετίζεται με την ομάδα APT10.

Τα δύο loaders μεταφέρουν διαφορετικά payloads στα θύματα, ωστόσο, και οι δύο παραλλαγές εγκαθιστούν τα ακόλουθα αρχεία:

jjs.exe – νόμιμο εκτελέσιμο, JVM-based javascript ως μέρος της πλατφόρμας Java, που λειτουργούσε ως loader για το κακόβουλο λογισμικό.
jli.dll – κακόβουλο αρχείο DLL
msvcrt100.dll – νόμιμο DLL του Microsoft C Runtime
svchost.bin – δυαδικό αρχείο

Και οι δύο παραλλαγές εξυπηρετούν διάφορα payloads, συμπεριλαμβανομένων των PlugX και Quasar RAT, τα οποία επιτρέπουν την απομακρυσμένη πρόσβαση σε συστήματα.

Σύμφωνα με τις έρευνες, τα payloads, που χρησιμοποιούν οι hackers στις τελευταίες τους επιθέσεις, είναι ακόμα σε στάδιο ανάπτυξης.

Οι ειδικοί καταλήγουν στο ότι, αν και οι δύο παραλλαγές του loader έχουν κάποιες διαφορές, ωστόσο, χρησιμοποιούν τον ίδιο μηχανισμό αποκρυπτογράφησης και μετάδοσης του κακόβουλου κώδικα.

Περισσότερες τεχνικές λεπτομέρειες από την enSilo.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS