ΑρχικήsecurityΗ ομάδα Billbug στοχεύει κυβερνητικές υπηρεσίες σε χώρες της Ασίας

Η ομάδα Billbug στοχεύει κυβερνητικές υπηρεσίες σε χώρες της Ασίας

Η ομάδα κυβερνοκατασκοπείας Billbug (γνωστή και ως Thrip, Lotus Blossom, Spring Dragon) έχει στοχεύσει μια αρχή έκδοσης πιστοποιητικών, κυβερνητικές υπηρεσίες και αμυντικούς οργανισμούς σε διάφορες χώρες της Ασίας τους τελευταίους μήνες μέσω μιας συνεχιζόμενης εκστρατείας.

Δείτε επίσης: Whoosh παραβίαση δεδομένων: Hacker διέρρευσε στοιχεία πελατών

Billbug

Η ομάδα πραγματοποιεί αυτές τις επιθέσεις εδώ και χρόνια, με τις πιο πρόσφατες να παρατηρούνται από τον Μάρτιο. Πιστεύεται ότι πρόκειται για μια κρατικά χρηματοδοτούμενη ομάδα από την Κίνα.

Οι δραστηριότητές του έχουν τεκμηριωθεί από πολλές εταιρείες κυβερνοασφάλειας τα τελευταία έξι χρόνια.

Δείτε επίσης: 42.000 ιστότοποι εξαπατούσαν τους χρήστες ώστε να νομίζουν ότι είναι νόμιμα

Σε σημερινή τους έκθεση, οι ερευνητές ασφαλείας της Symantec αναφέρουν ότι η ομάδα Billbug, την οποία παρακολουθούν από το 2018, στόχευσε και μια εταιρεία αρχών έκδοσης πιστοποιητικών. Εάν ήταν επιτυχής, αυτό θα επέτρεπε την ευκολότερη ανάπτυξη υπογεγραμμένου κακόβουλου λογισμικού και θα δυσκόλευε τον εντοπισμό ή την αποκρυπτογράφηση της κυκλοφορίας HTTPS.

Νέα καμπάνια, παλιά εργαλεία

Η Symantec δεν έχει καθορίσει τον τρόπο με τον οποίο η Billbug αποκτά αρχική πρόσβαση στα δίκτυα-στόχους, αλλά έχει δει αποδείξεις ότι αυτό συμβαίνει εκμεταλλευόμενοι εφαρμογές που αντιμετωπίζουν το κοινό με γνωστά τρωτά σημεία.

Όπως και σε άλλες εκστρατείες που αποδίδονται στην ομάδα Billbug, ο απειλητικός παράγοντας συνδυάζει εργαλεία που είναι ήδη εγκατεστημένα στο σύστημα-στόχο, βοηθητικά προγράμματα που είναι διαθέσιμα στο κοινό και κακόβουλο λογισμικό που έχει δημιουργηθεί ειδικά για το σκοπό αυτό. Σε αυτά περιλαμβάνονται:

  • AdFind
  • Winmail
  • WinRAR
  • Ping
  • Tracert
  • Route
  • NBTscan
  • Certutil
  • Port Scanner

Αυτά τα εργαλεία διευκολύνουν τους hackers να περνούν απαρατήρητοι, ενώ συγχέονται με την καθημερινή δραστηριότητα. Με αυτά τα εργαλεία, οι χάκερ μπορούν να αποφύγουν να σημάνουν συναγερμό στα εργαλεία ασφαλείας, καθιστώντας έτσι πιο δύσκολη την απόδοση του hack.

Ένα πιο σπάνια αναπτυσσόμενο εργαλείο ανοιχτού κώδικα που παρατηρείται στις πρόσφατες λειτουργίες του Billbug είναι το Stowaway, ένα εργαλείο proxy πολλαπλών επιπέδων που βασίζεται στο Go που βοηθά τους χρήστες να παρακάμψουν τους περιορισμούς πρόσβασης στο δίκτυο.

Η Symantec μπόρεσε να συνδέσει τις πρόσφατες επιθέσεις με την Billbug επειδή χρησιμοποίησε δύο backdoors που είχαν παρατηρηθεί σε προηγούμενες επιθέσεις της: Hannotog και Sagerunex.

Ορισμένες λειτουργίες του backdoor Hannotog περιλαμβάνουν την αλλαγή των ρυθμίσεων του firewall για την ενεργοποίηση όλης της κυκλοφορίας, το persistence στο μηχάνημα που έχει παραβιαστεί, τη μεταφόρτωση κρυπτογραφημένων δεδομένων, την εκτέλεση εντολών CMD και τη λήψη αρχείων στη συσκευή.

Το Sagerunex γίνεται drop από το Hannotog και γίνεται inject σε μια διαδικασία “explorer.exe”. Στη συνέχεια, γράφει logs σε ένα τοπικό αρχείο temp κρυπτογραφημένο χρησιμοποιώντας τον αλγόριθμο AES (256-bit).

Το configuration και η κατάσταση του backdoor αποθηκεύονται τοπικά και κρυπτογραφούνται με RC4. Ωστόσο, τα κλειδιά και για τα δύο αυτά χαρακτηριστικά είναι κωδικοποιημένα στο malware.

Δείτε επίσης: Σφάλμα σε συσκευές Apple προκαλεί κατάρρευση του Safari όταν πληκτρολογούνται ορισμένα γράμματα

Το Sagerunex χρησιμοποιεί HTTPS για να επικοινωνεί με τον command and command server, στέλνοντας μια λίστα ενεργών proxies και αρχείων, καθώς και για να λαμβάνει payload και shell commands από τους χειριστές. Επιπλέον, μπορεί να εκτελέσει προγράμματα και DLL χρησιμοποιώντας το “runexe” ή το “rundll”.

Η ομάδα Billbug χρησιμοποιεί τα ίδια custom backdoors με ελάχιστες αλλαγές άνα τον χρόνο.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS