Целевыми индустриями стали государственный сектор, производственные, здравоохранительные, логистические, гостиничные, образовательные организации, а также медиа и авиакомпания.
Прогосударственная хакерская группа APT41 (ARIUM, Winnti, LEAD, WICKED SPIDER, WICKED PANDA, Blackfly, Suckfly, Winnti Umbrella, Double Dragon), целями атак которой являются одновременно кибершпионаж и финансовая выгода, активна по меньшей мере с 2007 года. Аналитики Group-IB Threat Intelligence выделили 4 вредоносных кампании APT41, проведенных в 2021 году, и географически охвативших США, Тайвань, Индию, Вьетнам и Китай. Целевыми индустриями стали государственный сектор, производственные, здравоохранительные, логистические, гостиничные, образовательные организации, а также медиа и авиакомпания. Согласно данным Group-IB, подтвержденных жертв APT41 за 2021 было 13, однако реальное их число может быть значительно большим.
“Согласно проведенному исследованию, 2021 год был достаточно интенсивным для атакующих из APT41, — отмечает аналитик Threat Intelligence компании Group-IB. — В результате анализа обнаруженных нами инструментов и индикаторов компрометации, мы смогли выявить вредоносную активность и предупредить коммерческие и государственные организации о готовящихся или уже совершенных атаках APT41 для того, чтобы они могли предпринять необходимые шаги по защите или поиску следов компрометации своих сетей. Суммарно за 2021 год мы проактивно отправили более 80 таких уведомлений, связанных с APT41”.
Из инструментов разведки в исследованных кампаниях группа применяла утилиты Acunetix, Nmap, SQLmap, OneForAll, subdomain3, subDomainsBrute, Sublist3r. Традиционно в качестве начального вектора проникновения атакующим из APT41 приписывают фишинг, эксплуатацию различных уязвимостей, в том числе, и Proxylogon, watering hole или атаки на цепочки поставок. Однако в наблюдаемых Group-IB кампаниях злоумышленники проникали в целевые системы используя SQL-инъекции для веб-сайтов с помощью общедоступного инструмента SQLmap. В одних организациях группа получала доступ к командной оболочке целевого сервера, в других — доступ к базам данных с информацией об учетных записях, спискам сотрудников, а также с паролями в чистом и хэшированном виде. В результате таких SQL-инъекций атакующим удалось проникнуть в сети жертв в половине случаев — 43 из 86 веб-сайтов оказались уязвимы.
Как удалось выяснить Group-IB, для загрузки и выполнения вредоносного кода на зараженных устройствах, злоумышленники использовали не встречавшийся исследователями ранее уникальный способ деления полезной нагрузки, в качестве которой применялся кастомизированный инструмент Cobalt Strike Beacon. После компиляции его кодировали в Base64, а затем разбивали ровно по 775 символов и добавляли в текстовый файл определенной командой. Чтобы записать всю полезную нагрузку в файл, в одном из наблюдаемых случаев, злоумышленникам понадобилось 154 итерации на это действие. Такой же нестандартный способ деления полезной нагрузки был обнаружен и в сети другой организации, где злоумышленники решили разделить код на блоки по 1024 символа. На то, чтобы записать полезную нагрузку полностью, не привлекая к себе внимания, им потребовалось 128 итераций.
Исследователи подчеркивают, что некоторые серверы использовались APT41 исключительно для размещения на них фреймворка Cobalt Strike, другие — только для активного сканирования сети через утилиту Acunetix. Однако были обнаружены серверы, на которых выполнялись обе эти задачи. “Несмотря на защиту облачного сервиса CloudFlare, скрывающего реальные адреса серверов, система Threat Intelligence выявила бэкенды серверов APT41, что позволяет нам следить за вредоносной инфраструктурой атакующих и оперативно блокировать их сервера”, — добавляют в Group-IB.
Важной находкой работы Cobalt Strike, обнаруженной Group-IB, является использование лисенеров с кастомными SSL-сертификатами. Они нужны для принятия подключения от полезной нагрузки, для связи ботов с командным центром. В данном случае APT41 использовали уникальные SSL-сертификаты, которые мимикрируют под “Microsoft”, “Facebook” и “CloudFlare”. Как утверждают в Group-IB, серверы с такими сертификатам начали появляться с начала 2020 года, и их число на конец 2021 года составляло 106. Это значит, что исследователями было замечено более 100 серверов Cobalt Strike, которые используются только этой группой атакующих. Большая часть из них уже не активна. Все данные об инфраструктуре атакующих и индикаторы компрометации автоматически отправляются в систему Group-IB Managed XDR, как части единой платформе Unified Risk Platform, что позволяет детектировать угрозы и обнаруживать кибератаки на ранней стадии.
Исследуя вредоносные кампании APT41, относящиеся к 2021 году, аналитиками Group-IB удалось выровнять все временные метки атакующих под UTC+8. Это позволило установить, что основное время работы группы начинается с 9 часов утра и заканчивается ближе к 7 часам вечера. В часовом поясе атакующих находится ряд стран, включая Китай, Малайзию, Сингапур, частично Россию и Австралию.
В качестве элементов атрибуции в отчете приводится список преимущественно китайских IP-адресов для доступа к Cobalt Strike серверам. Также отмечается использование китайских символов на рабочих станциях, с которых проводились атаки. Интересно, что исследователи заметили применение специфического формата Pinyin для названия директорий (Pinyin — это запись звуков китайского языка на латинице).
Спойлер: она начинается с подписки на наш канал