APT10 расширяет арсенал: новые детали операции Cuckoo Spear
Вредоносное ПО прячется в XML-файлах прямо под носом у администраторов.
Компания Cybereason опубликовала продолжение исследования о деятельности хакерской группировки APT10 в рамках злонамеренной операции Cuckoo Spear. В новой части подробно рассмотрены вредоносные программы NOOPDOOR и NOOPLDR. Цель исследования — помочь специалистам по кибербезопасности лучше понять методы и инструменты злоумышленников для повышения защиты сетей.
Особое внимание уделено анализу инструмента NOOPLDR-DLL. Этот загрузчик вредоносного кода способен закрепляться в системе в качестве службы, обфусцировать свой код для усложнения анализа и скрывать строки, используя XOR-шифрование. Инструмент также осуществляет шелл-инъекцию в процессы через модифицированные DLL-библиотеки.
NOOPDOOR представляет собой зашифрованный шелл-код, который извлекается из реестра Windows и расшифровывается при помощи AES-CBC с использованием MachineId. Вредоносный код затем внедряется в память процессов. При этом злоумышленники применяют собственные системные вызовы для обхода защиты и скрытия своего присутствия.
Cybereason также представила анализ другой версии загрузчика — NOOPLDR на языке C#. Эта версия хранит вредоносный код в XML-файле и запускает его с помощью «msbuild.exe». Несмотря на сильную обфускацию кода, исследователям удалось разобрать его работу. Он динамически загружает шелл-код из файла или реестра, проверяет его целостность и расшифровывает.
Кроме того, исследование затрагивает клиентскую часть NOOPDOOR, которая обладает функционалом для взаимодействия с C2-серверами. Доменные имена генерируются с использованием DGA-алгоритма, что позволяет хакерам менять адреса серверов управления и затрудняет их обнаружение и блокировку.
Cybereason выявила также отдельный серверный компонент NOOPDOOR, который может модифицировать правила брандмауэра, использовать кастомные протоколы для связи и выполнять команды, направленные на кражу данных и управление заражённой сетью.
Эксперты подчёркивают, что деятельность APT10 связана с долгосрочным проникновением в сети организаций. Для эффективного устранения угрозы рекомендуется обращаться к команде реагирования на инциденты, чтобы провести комплексную очистку сети и предотвратить возврат злоумышленников.
Для обнаружения признаков атаки и эксплуатации вредоносного ПО в исследовании приводятся рекомендации по поисковым запросам, которые помогут отследить подозрительное поведение процессов и сетевой активности, связанной с Cuckoo Spear.