Кибершпионы атакуют почтовые клиенты, обходя даже самые мощные системы безопасности.
Специалисты по кибербезопасности из Центра киберразведки QiAnXin сообщили об обнаружении новой угрозы со стороны группы APT-Q-12, известной также под названием «Pseudo Hunter». Эта кибершпионская группа, имеющая корни в Северо-Восточной Азии, нацелена на государства и компании в Восточной Азии, включая Китай, Северную и Южную Корею, а также Японию.
Впервые о деятельности группы стало известно в 2021 году, когда эксперты QiAnXin опубликовали соответствующий технический отчёт. Однако корни её атак прослеживаются до 2017 года, когда было выявлено пересечение с действиями другой известной группы Darkhotel.
После 2019 года активность, связанная с группой Darkhotel, начала снижаться, что привело к появлению новых кибершпионских групп, таких как APT-Q-11, APT-Q-12, APT-Q-14 и другие. Эти группы, используя различные тактики и методы, сосредоточились на атаках на правительственные и корпоративные цели, причём, как выяснили специалисты, многие из них являются продолжением или ответвлением деятельности Darkhotel.
Основным методом шпионажа APT-групп, включая APT-Q-12, является использование сложных плагинов, которые позволяют злоумышленникам быстро и эффективно извлекать нужные данные из целевых систем. Например, в одной из операций, получившей название «ShadowTiger», использовались плагины для сканирования файловой структуры и загрузки документов на серверы злоумышленников.
Особое внимание APT-Q-12 уделяет сбору информации о поведении жертв, используя продуманные методы фишинга и внедрение шпионских кодов в популярные почтовые и офисные приложения. Группа разрабатывает и внедряет различные виды вредоносных программ, адаптированных под конкретные платформы, будь то настольные компьютеры, мобильные устройства или корпоративные серверы.
Одним из наиболее значимых открытий со стороны киберпреступников стало обнаружение Zero-day уязвимостей в почтовых клиентах на платформе Windows. Так, APT-Q-12 использует сложные методы атак, которые включают в себя исполнение вредоносного кода через уязвимости в браузерах и почтовых приложениях, что позволяет им проникать в системы и устанавливать контроль.
В ходе анализа было выявлено несколько видов вредоносных программ, среди которых особо выделяется троян, который устанавливается в систему через цепочку действий с использованием скриптов и специальных команд. Этот троян предназначен для захвата и передачи конфиденциальной информации, что делает его мощным инструментом в руках злоумышленников.
APT-Q-12 также использует плагины для захвата ввода с клавиатуры и сбора информации о действиях пользователей, что даёт возможность отслеживать их повседневную активность и выявлять ценные данные, такие как пароли и другие учётные данные. Затем эти данные шифруются и передаются на серверы злоумышленников для дальнейшего анализа и использования.
Для защиты от таких угроз специалисты рекомендуют использовать современные EDR-системы, которые могут эффективно обнаруживать и предотвращать атаки на ранних этапах. Современные ИБ-решения, основанные на данных киберразведки, становятся всё более необходимыми в условиях набирающих обороты угроз в регионе Восточной Азии.
APT-Q-12 продолжает развивать свои методы атак, что представляет серьёзную угрозу для безопасности стран и компаний в этом регионе. Специалисты продолжают следить за их деятельностью и совершенствовать меры защиты для минимизации ущерба от потенциальных атак.
Одно найти легче, чем другое. Спойлер: это не темная материя