Облачные хранилища от Microsoft и Google используются для хранения и распространения спонсируемого государством вредоносного ПО.

Важные новости

Облачные хранилища от Microsoft и Google использовались для хранения и распространения вредоносного ПО, спонсируемого государством

Спонсируемые государством кибершпионы и преступники Black Hat все чаще используют легитимные облачные сервисы для атак на своих жертв, согласно охотникам за угрозами Symantec, которые за последние месяцы выявили три такие операции, а также новые инструменты кражи данных и другие вредоносные программы, разрабатываемые этими головорезами.

Марк Элиас из компании по безопасности обсудил различные группы и их любимые облачные платформы во время выступления в среду на конференции Black Hat infosec. Он рассказал The Registerпреступники используют облака во многом по тем же причинам, что и законные организации, плюс тот факт, что с их помощью им легче не быть пойманными на слежке за сетями жертв.

«Одним из преимуществ является то, что затраты на инфраструктуру равны нулю для группы национальных государств», — объяснил Элиас, охотник за угрозами из Symantec, во время интервью в преддверии ежегодной хакерской конференции в Лас-Вегасе.

«Они могут создавать бесплатные учетные записи на Google Drive или Microsoft, и им не нужно ничего платить за поддержание этой инфраструктуры», — добавил он. «Кроме того, такие атаки трудно обнаружить, поскольку трафик зашифрован и идет на легитимные домены».

Некоторые из последних кампаний включают бэкдор, который Symantec назвала «Grager» после того, как в апреле он был обнаружен в трех организациях на Тайване, в Гонконге и Вьетнаме. Этот фрагмент вредоносного ПО использовал API Microsoft Graph для связи с сервером управления и контроля злоумышленника, размещенным на Microsoft OneDrive.

Команда, стоящая за бэкдором Grager, «зарегистрировала вредоносный домен, имитирующий настоящее программное обеспечение 7-Zip, и перенаправляла жертв на этот вредоносный домен через поисковые системы. Так что это была очень интересная цепочка заражения — злоумышленники пытались действовать очень скрытно в этой кампании», — сказал Элиас.

Группа Symantec по анализу угроз опубликовала сегодня исследование Grager и нескольких других государственных кампаний, злоупотребляющих облачными инструментами. В Grager они отметили предварительные связи с группой, известной как UNC5330, которая предположительно связана с китайским правительством.

Домен, на котором размещен Grager – hxxp://7-zip.tw/a/7z2301-x64[.]msi – это тайпсквотированный URL, используемый для поимки людей, ищущих настоящий инструмент архивации файлов с открытым исходным кодом 7-Zip. После загрузки вредоносной программы она устанавливает троянизированную версию 7-Zip на зараженную машину, которая затем устанавливает настоящее программное обеспечение 7-Zip, вредоносный файл с именем epdevmgr[.]dll, вредоносную программу Tonerjam и бэкдор Grager.

Ранее Mandiant связывала Tonerjam с UNC5330. «И в нашей телеметрии мы также обнаружили тот же образец Tonerjam, развернутый другим безвредным исполняемым файлом, связанным Mandiant с той же группой», — заметил Элиас.

По словам Элиаса, в марте его команда обнаружила еще один бэкдор, который, как полагают, находится в разработке и назван разработчиком «Moon_Tag». Эта вредоносная программа основана на коде, опубликованном в этой группе Google, и содержит функциональность для связи с API Graph. Symantec приписала MoonTag китайскоязычной группе, основываясь на группе Google и используемой инфраструктуре.

Еще совсем недавно Symantec обнаружила бэкдор под названием Onedrivetools, который был развернут против компаний по предоставлению ИТ-услуг в США и Европе. Это вредоносное ПО сначала запускает загрузчик, который проходит аутентификацию в Graph AI, а затем загружает и выполняет вторую полезную нагрузку, хранящуюся в OneDrive. Однако основная полезная нагрузка — это общедоступный файл с GitHub.

Вредоносная программа создает новую папку в OneDrive для каждого скомпрометированного компьютера и загружает в OneDrive файл, который предупреждает злоумышленников о новом заражении. Этот бэкдор также дает преступникам доступ к файлам жертв, которые они затем извлекают, загружая из OneDrive. Облачный инструмент обмена файлами Microsoft также является источником вредоносного ПО, отправляемого на зараженные машины.

Symantec отмечает, что в этих атаках команда использовала инструмент туннелирования — Whipweave — который, как они подозревают, создан на основе китайского проекта VPN Free Connect (FCN) с открытым исходным кодом. Это подключается к сети Orbweaver Operational Relay Box (ORB) для дальнейшего сокрытия вредоносного трафика.

«За последние два года мы увидели, как довольно много групп APT из разных регионов используют облачные сервисы для скрытности своих кампаний», — предупредил Элиас, добавив, что он ожидает только роста этой тенденции из-за преимуществ для злоумышленников.

Чтобы помочь защитникам сетей, Symantec также опубликовала список индикаторов компрометации и тактик, методов и процедур MITRE, используемых злоумышленниками, — так что ознакомьтесь и с ними. И удачной охоты. ®

Новости сегодня

Последние новости